Question

本章将带领大家进入HTML5下的安全世界，实际上，我们在第2、6、7章中很多地方都提到了HTML5的一些技术点。

HTML5现在由WHATWG、W3C、IETF三个组织来共同开发制定。到目前为止，HTML5规范已经以草案的形式发布，但最终版本的发布还需要很长时间。在W3C上，HTML5规范草案每几个月就会有一次修订发布。我们可以发现在规范草案中，很多以前在HTML5规范里的技术都已经被剥离出来单独成为一个规范，比如：Web Storage、Web Workers、Geolocation等。在本章对HTML5的讨论中，是否还要把它们作为HTML5的一部分来说呢？答案是肯定的。因为在HTML5正式成为官方规范之前，把一部分技术先单独剥离出来进行讨论和编辑是一个很好的方法，即使存在争议，也不会影响整个规范，而且现在业界也更倾向于把现有的功能和被剥离出去的功能一起视为HTML5。

HTML5已不是简单的HTML标签的升级，它还涵盖了各种新的JavaScript API函数，比如本地存储、拖放操作、地理定位、视频、音频、图像、动画等。在HTML5的这些新元素中，又会存在哪些安全风险呢？下面将详细介绍。