問：是否如一些防病毒廠商所說的一樣，新的HTML 5功能為惡意軟件編寫者提供了新的機遇？能解釋一下原因嗎？

答：實際上，每一種新技術都會給惡意軟件編寫者帶來新的機遇，新的HTML 5功能也為他們提供了許多機遇。即使 HTML 5具有整合的安全功能，但是仍然有一些攻擊者試圖攻擊它。和其他新技術一樣，HTML 5也面臨著攻擊和安全漏洞調查。HTML 5更復雜，支持的功能（現在多個不同的插件所有的功能）也更多。一般情況下，更廣泛的功能更容易導致攻擊。代碼越多，就越復雜，攻擊者可以利用的潛在漏洞也越多。

一種新的高風險HTML 5功能是跨域信任功能。該功能允許不同的域（域名服務器名）在你的Web瀏覽器的iframe間進行通信。剛開始，這個功能對開發者來說很復雜，它需要認證從其他域來的跨域請求是來自他們所請求的域。雖然這個功能很先進，但技術用戶發現很難理解其所包含的風險。惡意軟件編寫者很可能會試圖濫用這個功能以獲得敏感數據，因為認證過程可能不會按期望的進程進行。

HTML 5所面臨的一個最困難的安全問題是將功能從服務器移到客戶端，因為服務器會過度的相信客戶。舉一個例子，服務器相信數據是來自一個具有有效的非惡意輸入的客戶端。所以，應該對服務器和應用程序進行編程，來驗證從客戶端來的數據，以確保它不是惡意的。

【編輯推薦】

1. 專家教您如何使用HTML Purifier防止不良代碼
2. 國內網絡安全風險評估市場與技術操作