某個(gè)客戶端的(de)數據庫是(shì)惡意的(de)，當與生産系統同步時(shí)，則可能出(chū)現同步 問題，或者客戶端的(de)潛在(zài)惡意數據将被插入到(dào)生産系統。”爲(wéi / wèi)了(le／liǎo)解決這(zhè)個(gè)問題，開發人(rén)員需要(yào / yāo)能夠驗證數據是(shì)否爲(wéi / wèi)惡意的(de)，這(zhè)其實是(shì)個(gè)很複雜的(de)問題。對于(yú)這(zhè)個(gè)問題的(de)重要(yào / yāo)性并不(bù)是(shì)所有人(rén)都贊同。Veracode公司首席技術官Chris Wysopal表示，例如web應用程序通過使用插件或者浏覽器擴展存儲數據客戶端就(jiù)一(yī / yì ／yí)直存在(zài)很多方法。“有很多已知的(de)方法可以(yǐ)操控目前部署的(de)HTML5 SessionStorage屬性，但是(shì)标準最終确定時(shí)，這(zhè)個(gè)問題才會解決。

跨域通信

而(ér)其他(tā)版本的(de)HTML可能直允許JavaScript發出(chū)XML HTTP請求調用回原來(lái)的(de)服務器，而(ér)HTML5放寬了(le／liǎo)這(zhè)個(gè)限制，XML HTTP請求可以(yǐ)發送給任何允許這(zhè)種請求的(de)服務器。當然，如果服務器不(bù)可信任的(de)話，這(zhè)也(yě)會帶來(lái)嚴重安全問題。“例如，我可以(yǐ)建立一(yī / yì ／yí)個(gè)mashup(糅合，将兩種以(yǐ)上(shàng)使用公共或者私有數據庫的(de)web應用合并形成一(yī / yì ／yí)個(gè)整合應用)通過 JSON(Javascript Object Notation)将第三方網站的(de)比賽比分拉過來(lái)，”Cornell表示，“這(zhè)個(gè)網站可能會發送惡意數據到(dào)我的(de)用戶浏覽器正在(zài)運行的(de)應用程序上(shàng)。雖說(shuō) HTML5允許新類型的(de)應用程序的(de)建立，但如果開發人(rén)員在(zài)開始使用這(zhè)些功能時(shí)，并不(bù)理解他(tā)們所建立的(de)應用程序的(de)安全意義，那麽将會給用戶帶來(lái)很大(dà)安全風 險。”
對于(yú)依賴于(yú)PostMessage()來(lái)編寫應用程序的(de)開發人(rén)員而(ér)言，必須仔細檢查以(yǐ)确保信息是(shì)來(lái)源于(yú)他(tā)們自己的(de)網站，否則來(lái)自其他(tā)網站的(de)惡意 代碼可能會制造惡意信息，Wysopal補充說(shuō)。這(zhè)個(gè)功能本身并不(bù)是(shì)安全的(de)，開發人(rén)員已經開始使用不(bù)同的(de)DOM(文檔對象模型)/浏覽器功能來(lái)效仿跨域通訊。另一(yī / yì ／yí)個(gè)相關問題是(shì)，萬維網聯盟目前爲(wéi / wèi)跨源資源共享設計提供了(le／liǎo)一(yī / yì ／yí)種使用類似與跨域機制繞過同源政策的(de)方法。“IE部署的(de)安全功能與Firefox、Chrome以(yǐ)及Safari都不(bù)相同，“開發人(rén)員需要(yào / yāo)确保他(tā)們創建過于(yú)寬松訪問控制列表的(de) 危害，特别是(shì)因爲(wéi / wèi)某些參考代碼目前非常不(bù)安全。

Iframe安全
從安全角度來(lái)看，HTML5也(yě)有不(bù)錯的(de)功能，例如計劃支持iframe的(de)沙盒屬性。“這(zhè)個(gè)屬性将允許開發者選擇數據如何解譯的(de)方式，“不(bù)幸的(de)是(shì)，與大(dà)部分HTML一(yī / yì ／yí)樣，這(zhè)個(gè)設計很可能被開發人(rén)員誤解，很 可能因爲(wéi / wèi)不(bù)便于(yú)使用而(ér)被開發人(rén)員禁用。如果處理得當，這(zhè)個(gè)功能将能夠幫助抵禦惡意第三方廣告或者防止不(bù)可信任内容重放。”