一、CORS领域问题：

1、CORS的介绍请参考：跨域资源共享简介

2、HTML5中的XHR2级调用可以打开一个socket连接，发送HTTP请求，有趣的是，上传文件这里恰恰是multi-part/form-data恰恰符合要求，不需要preflight，所而且可以带cookie等认证信息。完美的绕过了所有的跨域共享防御机制。

 <script language=javascript type=text/javascript>

 functiongetMe()

 {

 varhttp;

 http=newXMLHttpRequest();

 http.open(POST,http://192.168.100.12/json/jservice.ashx,true);

 http.setRequestHeader(Content-Type,text/plain);

 http.withCredentials=true;

 http.onreadystatechange=function()

 {

 if(http.readyState==4){

 varresponse=http.responseText;

 document.getElementById(result).innerHTML=response;

 }

 }

 http.sent({\id\:2,\method\:\getProduct\,\params\:{\id\:2}});

 }getMe();

 </script>

二、新标签、新属性的XSS问题：

1、主要针对过滤情况，对新的标签和属性可能没有做到足够的过滤。

2、标签：media：【audio、video】；canvas：【getImageData】；menu；embed ；buttons ；commands Formcontrol：【keys】

3、其他类：form，submit，autofocus，sandbox，manifest，rel等等；新的富文本脚本语言等等；

三、WEB存储和DOM信息萃取：

1、locolStorage对象将在WEB数据持久化在本地，可以直接通过js读取。重要的敏感数据应该一律存储在session Storage之中。

 <script>

 if(localStorage.length){

          for(I in localStorage) {

                    console.log(i);

                    console.log(localStorage.getItem(i));

          }

 }

 </script>   

四、webworker攻击：

1、主要僵尸网络，攻击者在可插入代码的地方写了一段代码不断开启webworker从事恶意活动，网页只要被访问就会执行恶意代码。会引发注入ddos、发送垃圾邮件等等，用户的browser变成肉鸡。

2、webworker可以童年过postmessageapi来和主线程通信，如果没有做过滤和验证，字可以对dom数据进行读写。

3、常见攻击攻击：ravan

五、websocket攻击：

1、成为后门、端口扫描、僵尸网络、嗅探等等

JS_recon是一款基于JS的网络探测工具，使用wensocket执行网络及端口扫描。

六：新的API仍需注意并仔细分析有没有存在安全风向。