某個(gè)客戶端的(de)數(shù)據庫是(shì)惡意的(de)，當與生(shēng)産系統同步時(λshí)，則可(kě)能(néng)出現(xiàn)同步 問(wèn)題，或者客戶端的(de)潛在惡意數(shù)據将被插入到(dào)生(shēng)産系統。”為(wèi)了(le​)解決這(zhè)個(gè)問(wèn)題，開(kāi)發人(rén)員(yuán)需要(yào)能(néng)夠驗證數&(shù)據是(shì)否為(wèi)惡意的(de)，這(zhè)其實是(shì)個(gè)很(hěn)複雜(zá)的(de)問(wèn)題。對(duì)于這(zhè)個(★gè)問(wèn)題的(de)重要(yào)性并不(bù)是(shì)所有(yǒu)人(rén)都(dōu)贊同。Veracode公司首席技(jì)術(shù)官Chris‌ Wysopal表示，例如(rú)web應用(yòng)程序通(tōng)過使用(yòng)插件(jiàn)或者浏覽器(qì)擴™展存儲數(shù)據客戶端就(jiù)一(yī)直存在很(hěn)多(duō)方法。“有(yǒu)很(h☆ěn)多(duō)已知(zhī)的(de)方法可(kě)以操控目前部署的(de)HTML5 SessionStorage屬性，但(dàn)是(shì)标準最₽終确定時(shí)，這(zhè)個(gè)問(wèn)題才會(huì)解決。

跨域通(tōng)信

而其他(tā)版本的(de)HTML可(kě)能(néng)直允許JavaScript發出XML HTTεP請(qǐng)求調用(yòng)回原來(lái)的(de)服務器(qì)，而HTML5放(fàng)寬了(le)這(zhè)個(gè)限制(zhì)，XML§ HTTP請(qǐng)求可(kě)以發送給任何允許這(zhè)種請(qǐng)求的(de)服務器(qì)。當然，如(rú)果服務器(qì)不(bù)可(kě)信任的(de)話(huà)，↔這(zhè)也(yě)會(huì)帶來(lái)嚴重安全問(wèn)題。“例如(rú)，我可(kě)以建立一(yī)個(gè)mashλup(糅合，将兩種以上(shàng)使用(yòng)公共或者私有(yǒu)數(shù)據庫的(de)web應用(yòng)合并形成一(yī)個(gè)整合&應用(yòng))通(tōng)過 JSON(Javascript Object Notation)将第三方網站(zhàn)的(de)比賽比分(fēn)拉過來(lái)，÷”Cornell表示，“這(zhè)個(gè)網站(zhàn)可(kě)能(néng)會(huì)發送惡意數(shù)據到(dào)我的(de)用(yòng)戶浏覽器(q‍ì)正在運行(xíng)的(de)應用(yòng)程序上(shàng)。雖說(shuō) HTML5≥允許新類型的(de)應用(yòng)程序的(de)建立，但(dàn)如(rú)果開(kāi)發人(rén)員(yuán)在開(•kāi)始使用(yòng)這(zhè)些(xiē)功能(néng)時(shí)，并不(bù)理(lǐ)解他(tā)們所建立的(de)應用(yòng)程序的(de)安全意義，那"(nà)麽将會(huì)給用(yòng)戶帶來(lái)很(hěn)大(dà)安全風(fēng) 險。”
對(duì)于依賴于PostMessage()來(lái)編寫應用(yòng)程序的(de)開(kāi)發人(rén)員(yuán)而言，必須仔細檢查以确保信息是(shì)來(lái)'源于他(tā)們自(zì)己的(de)網站(zhàn)，否則來(lái)自(zì)其他(tā)網站(zhàn)的(​de)惡意 代碼可(kě)能(néng)會(huì)制(zhì)造惡意信息，Wysopal補充說(shuō)。這(zhè)個(gè)功能(néng)本身(shēn)并不(bù)是(shì)安全的∞(de)，開(kāi)發人(rén)員(yuán)已經開(kāi)始使用(yòng)不(bù)同的(de)DOM(文(wén)檔對(duì)象模型)/浏覽器(qì)功能(néng)來(láiβ)效仿跨域通(tōng)訊。另一(yī)個(gè)相(xiàng)關問(wèn)題是(shì)，萬維網聯盟目前為(wèi)跨源資源共享設計(jì)提供了(le)一(yī)種使用(↓yòng)類似與跨域機(jī)制(zhì)繞過同源政策的(de)方法。“IE部署的(de)安全功能(néng)與Firefox、Chrome以及∏Safari都(dōu)不(bù)相(xiàng)同，“開(kāi)發人(rén)員(yuán)需要(yào)确保他(tā)們創建過于寬松訪問(wèn)控制(zhì)列表的(de) 危害，特别≠是(shì)因為(wèi)某些(xiē)參考代碼目前非常不(bù)安全。

Iframe安全
從(cóng)安全角度來(lái)看(kàn)，HTML5也(yě)有(yǒu)不(bù)錯(cuò)的(de)功能(néng)，例如(rú)計(jì)劃支持iframe的(de)沙盒屬性¶。“這(zhè)個(gè)屬性将允許開(kāi)發者選擇數(shù)據如(rú)何解譯的(de)方式，“不(bù)幸的(de)是(shì)，與大(dà)部分(fēn)HTML一(yī)樣，這₽(zhè)個(gè)設計(jì)很(hěn)可(kě)能(néng)被開(kāi)發人(rén)員(yuán)誤解，很(hěn) 可(kě)能(nβéng)因為(wèi)不(bù)便于使用(yòng)而被開(kāi)發人(rén)員(yuán)禁用(yòng)。如(r‍ú)果處理(lǐ)得(de)當，這(zhè)個(gè)功能(néng)将能(néng)夠幫助抵禦惡意第三方廣告或者防止不(bù)可(kě)信任內(nèi)容重&放(fàng)。”