HTML5安全攻防详析之完结篇：HTML5对安全的改进

      HTML5对旧有的安全策略进行了非常多的补充。       **一、iframe沙箱**       HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作，例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。但是这个安全策略又会带来另外的风险，这很有趣，例如[ClickJacking攻击](http://blog.csdn.net/hfahe/article/details/8138728)里阻止JavaScript脚本的运行来绕过JavaScript的防御方式。       **二、CSP内容安全策略**       XSS通过虚假内容和诱骗点击来绕过同源策略。** **XSS攻击的核心是利用了浏览器无法区分脚本是被第三方注入的，还是真的是你应用程序的一部分。CSP定义了Content-Security-Policy HTTP头来允许你创建一个可信来源的白名单，使得浏览器只执行和渲染来自这些来源的资源，而不是盲目信任服务器提供的所有内容。即使攻击者可以找到漏洞来注入脚本，但是因为来源不包含在白名单里，因此将不会被执行。具体内容可以在[我的博客上](http://blog.csdn.net/hfahe/article/details/7727460)了解到。  XSS攻击的原理       **三、XSS过滤器**       Chrome、Safari这样的现代浏览器也构建了安全防御措施，在前端提供了XSS过滤器。例如[http://test.jiangyujie.com/?text=