李　璐　山東省聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師

劉洪偉　山東省聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師

戴　芬　山東省聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師

崔媛媛　中國信息通信研究院高級工程師

移動Web安全分析

李璐山東省聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師

劉洪偉山東省聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師

戴芬山東省聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師

崔媛媛中國信息通信研究院高級工程師

在HTML5以及HTTP2.0發(fā)展的基礎(chǔ)上，移動Web技術(shù)得到了全新的發(fā)展。在移動Web技術(shù)發(fā)展的同時(shí)，也帶來了一些新的安全問題。本文首先分析了移動Web可能存在的安全問題，然后梳理了目前一些業(yè)界的移動Web安全技術(shù)進(jìn)展。根據(jù)移動Web安全問題及安全研究現(xiàn)狀，提出了對移動Web安全的想法，拓寬了電子數(shù)據(jù)取證工作的新思路。

移動Web；HTML5安全；電子數(shù)據(jù)取證

1　引言

移動Web是以HTML、HTTP等技術(shù)為基礎(chǔ)構(gòu)建的移動互聯(lián)網(wǎng)信息服務(wù)系統(tǒng)，主要由Web應(yīng)用服務(wù)、Web運(yùn)行環(huán)境、服務(wù)部署托管平臺、應(yīng)用生成開發(fā)工具等部分組成。移動Web在桌面Web的基礎(chǔ)上添加了新的UserAgent（用戶代理）類型、標(biāo)記語言、文檔格式，為小尺寸屏幕提供優(yōu)化的Web內(nèi)容，并可解決移動設(shè)備上的資源限制、Web瀏覽器可用性差等問題。

移動Web在Web生態(tài)系統(tǒng)中引入了一些新的組件，包括：

●針對移動設(shè)備進(jìn)行了優(yōu)化的標(biāo)記語言和樣式。

●可區(qū)分移動和桌面HTML的UserAgent類型。

●符合移動設(shè)備特性的訪問設(shè)備的接口API（應(yīng)用協(xié)議接口）。

●HTML5語言的大量使用。

移動WebAPP基于移動終端的瀏覽器或Web運(yùn)行引擎進(jìn)行訪問交互，將移動終端設(shè)備的本地能力，與移動Web的網(wǎng)絡(luò)業(yè)務(wù)能力及服務(wù)架構(gòu)模式相互融合，既提供了豐富的設(shè)備和網(wǎng)絡(luò)能力，又保持了傳統(tǒng)Web APP良好的跨平臺特性。

2014年10月，W 3C發(fā)布正式的HTML5規(guī)范，隨后主流瀏覽器均宣布支持HTML5，這包括PC瀏覽器（Chrome、IE、Firefox、Opera、360瀏覽器等），也包括手機(jī)瀏覽器的內(nèi)核Webkit。

2　移動Web可能存在的安全問題

HTML5一些新的特性，使得移動Web在防惡意代碼、終端能力調(diào)用、本地存儲等方面存在安全隱患。一些違法犯罪分子利用這些安全隱患大肆進(jìn)行惡意攻擊、盜取個(gè)人隱私信息、詐騙等違法犯罪活動，同時(shí)也給電子數(shù)據(jù)取證工作帶來新的挑戰(zhàn)。

2.1HTML5協(xié)議安全問題

HTML5的新特性在推動移動Web發(fā)展的同時(shí)，也增加了攻擊者發(fā)動攻擊的幾率，引入了新的安全問題。

（1）CORS（跨域資源共享）攻擊

在CORS（CrossOriginResourceSharing）之前，Web資源訪問的策略是同源策略（SameOrigin Policy），即一個(gè)域的文檔或腳本，不能獲取或修改另一個(gè)域的文檔的屬性，也就是不能跨域訪問。同源策略在保證安全性的同時(shí)，對Web應(yīng)用的開發(fā)有一定的限制作用，因此在HTML5中出現(xiàn)了CORS，即跨域資源共享，它定義了一種瀏覽器和服務(wù)器交互的方式來確定是否允許跨域請求，使得Web應(yīng)用的開發(fā)具備更大的靈活性。

目前，許多瀏覽器都提供了對CORS的支持，如Chrome、IE、Firefox。服務(wù)器方面，應(yīng)用CORS的系統(tǒng)包括Face.com、GoogleCloudStorage等，主要是為開放平臺向第三方提供訪問的能力。

CORS非常有用，可以共享許多內(nèi)容，給Web開發(fā)帶來了非常大的靈活性，不過這也帶來了一定的安全風(fēng)險(xiǎn)，包括：

●攻擊者可能偽造HTTP頭來跨域訪問獲取敏感信息。

●CORS使得Web網(wǎng)站會收到大量來自其他域的跨域請求。這些請求有時(shí)可能會被用于執(zhí)行應(yīng)用層面的DDoS攻擊。

●CORS使得Web網(wǎng)站會收到大量來自其他域的跨域請求。這些請求有時(shí)可能會被用于執(zhí)行應(yīng)用層面的DDoS攻擊。

●如果攻擊者已經(jīng)確定了某個(gè)用戶可以全域訪問的某個(gè)網(wǎng)站頁面上存在SQL注入漏洞，他可能會編寫一個(gè)JavaScript數(shù)據(jù)采集腳本，并在存在XSS問題的網(wǎng)站上插入這段腳本。當(dāng)用戶訪問含有這種XSS腳本的網(wǎng)站時(shí)，他的瀏覽器將執(zhí)行針對該頁面的SQL注入攻擊，采集所有的數(shù)據(jù)并發(fā)送給攻擊者。

●HTML5協(xié)議引入PostMessage函數(shù)來實(shí)現(xiàn)跨域的數(shù)據(jù)通信。在源端使用PostMessage（Data、Origin）來發(fā)送消息；在接收端，通過注冊函數(shù)到事件“Message”上來接收消息，進(jìn)而實(shí)現(xiàn)跨文檔、多窗口、跨域的數(shù)據(jù)通信。在PostMessage中，參數(shù)Data是要傳遞的數(shù)據(jù)，Origin是字符串參數(shù)，用來指明目標(biāo)窗口。當(dāng)發(fā)送端使用“*”來作為Origin參數(shù)的話，所有注冊了M essage事件的頁面都將會收到這條消息，這樣就會很容易地獲得發(fā)送端的數(shù)據(jù)，帶來數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

（2）WebSQL攻擊

Web SQL的安全問題通常表現(xiàn)為兩個(gè)部分：一種是SQL注入，和本地?cái)?shù)據(jù)庫一樣，攻擊者可以通過SQL注入來進(jìn)行數(shù)據(jù)庫攻擊；另一方面，如果WebAPP有XSS漏洞，那么利用XSS漏洞，攻擊者可能會獲取到用戶本地?cái)?shù)據(jù)，造成用戶隱私信息泄露。

（3）WebWorker攻擊

傳統(tǒng)的HTML中Javascript是單線程執(zhí)行的，在執(zhí)行過程中瀏覽器不能同時(shí)執(zhí)行其它Javascript腳本。HTML5中提出的WebWorker的概念可以將Javascript的執(zhí)行過程放入一個(gè)新線程里去執(zhí)行。這樣可以同時(shí)執(zhí)行多個(gè)Javascript任務(wù)而不會阻塞瀏覽器，非常適合異步交互和大規(guī)模計(jì)算。但是這樣一個(gè)好的特性也會引入新的安全問題。

用戶如果訪問惡意頁面或者網(wǎng)站時(shí)，頁面的惡意代碼就能把用戶的瀏覽器當(dāng)作肉雞，利用WebWorker大規(guī)模執(zhí)行多線程攻擊，例如DDoS攻擊、發(fā)送垃圾郵件或者進(jìn)行網(wǎng)絡(luò)嗅探。

另外，WebWorker在后臺運(yùn)行，用戶無法通過命令來殺死WebWorker線程，只能依靠WebWorker線程主動退出。攻擊者可以利用這個(gè)特性，啟動一個(gè)死循環(huán)的WebWorker線程，不斷地申請內(nèi)存，占用CPU資源，而用戶無法得知具體的原因。

（4）Web Storage攻擊

HTM L5支持WebStorage，開發(fā)者可以為應(yīng)用創(chuàng)建本地存儲，存儲一些有用的信息。例如，LocalStorage可以長期存儲，而且存放空間很大，一般是5M，這極大地解決了之前只能用Cookie來存儲數(shù)據(jù)的容量小、存取不便、容易被清除的問題。

但是，Web Storage存儲的用戶信息沒有經(jīng)過加密存儲，那么其他應(yīng)用可能會訪問到LocalStorage存儲的信息，造成用戶隱私的泄露。另外，LocalStorage的API都是通過Javascript提供的，這樣攻擊者可以通過XSS攻擊竊取信息，如用戶token或者資料。

2.2HTML5新標(biāo)簽帶來的XSS安全問題

HTML5去掉了很多過時(shí)的標(biāo)簽，例如＜Center＞和＜Frameset＞，同時(shí)又引入了許多新標(biāo)簽，包括＜Audio＞、＜Video＞、＜Canvas＞、＜A rticle＞、＜Footer＞等，而這些標(biāo)簽又有一些屬性，如Poster、Autofocus、Onerror、Form action、Oninput，這些屬性都可以用來執(zhí)行Javascript，這會導(dǎo)致XSS和CSRF（跨站請求偽造）攻擊。

2.3Device API安全問題

HTML5中定義了很多關(guān)于設(shè)備的接口，使得用戶可以在瀏覽器或者WebAPP中方便地訪問手機(jī)的各種設(shè)備資源，但同時(shí)也帶來了風(fēng)險(xiǎn)，容易造成用戶隱私泄露。這些API包括CalendarAPI（日歷）、Camera（攝像頭）、Communication log（通話記錄）、ContactsAPI（聯(lián)系人信息）、FileSystem API（訪問用戶文件系統(tǒng)）、Gallery API（視頻、音頻和照片等媒體）、MessagingAPI（發(fā)送短信/彩信）、System Information API（電池信息、CPU信息、內(nèi)存信息、網(wǎng)絡(luò)信息、傳感器信息、存儲信息、輸入/輸出設(shè)備等信息）、TasksAPI（任務(wù)管理器信息）、UIAPI（手機(jī)的UI信息）、GeolocationAPI（終端位置信息）。

2.4移動W eb APP安全問題

移動WebAPP基于移動終端的瀏覽器或Web運(yùn)行引擎進(jìn)行訪問交互，將移動終端設(shè)備的本地能力與移動Web的網(wǎng)絡(luò)業(yè)務(wù)能力及服務(wù)架構(gòu)模式相互融合，既提供了豐富的設(shè)備和網(wǎng)絡(luò)能力，又保持了傳統(tǒng)Web應(yīng)用良好的跨平臺特性。

現(xiàn)有的移動設(shè)備本地APP，由于它們通過終端系統(tǒng)直接訪問設(shè)備上的各種硬件接口，應(yīng)用代碼直接在設(shè)備本地運(yùn)行，并能夠針對不同系統(tǒng)、硬件平臺進(jìn)行本地定制優(yōu)化，因而在終端應(yīng)用的響應(yīng)處理效率、設(shè)備能力調(diào)用方面具有諸多優(yōu)點(diǎn)。與之相對，移動WebAPP由于具備Web業(yè)務(wù)能力及服務(wù)模式，在應(yīng)用部署、維護(hù)、跨平臺等方面具有本地應(yīng)用不可比擬的優(yōu)勢。

移動WebAPP既具有Web的特性又具有移動設(shè)備本地APP的特性，因此Web和移動本地APP所面臨的安全問題同樣也適用于WebAPP。

惡意移動Web APP主要的安全問題包括惡意代碼、非授權(quán)調(diào)用終端API。

這些惡意移動WebAPP成為了騷擾廣告、泄漏個(gè)人隱私信息、偷取流量與話費(fèi)的罪魁禍?zhǔn)祝蔀殡娮訑?shù)據(jù)取證工作的新的研究領(lǐng)域。

（1）惡意代碼

互聯(lián)網(wǎng)惡意代碼完全可以移植到移動WebAPP上，根據(jù)國家對惡意代碼的惡意行為，可總結(jié)為惡意扣費(fèi)、隱私竊取、遠(yuǎn)程控制、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為等惡意行為。

（2）非授權(quán)調(diào)用終端API

W 3C規(guī)定了很多DeviceAPI，供HTML5的瀏覽器和WebAPP調(diào)用，以充分體現(xiàn)HTML5對移動設(shè)備的良好支持。但是如上文所述，在給開發(fā)者帶來方便的同時(shí)，終端設(shè)備API的調(diào)用，如果不進(jìn)行完善的授權(quán)管理，將會給用戶隱私帶來非常嚴(yán)重的安全問題。

3　移動WebAPP安全研究現(xiàn)狀

3.1W 3C

W 3C（萬維網(wǎng)聯(lián)盟）是Web技術(shù)領(lǐng)域最具權(quán)威和影響力的國際標(biāo)準(zhǔn)組織，制定了一系列Web技術(shù)標(biāo)準(zhǔn)，包括HTML5系列標(biāo)準(zhǔn)。在安全方面，W 3C制定了如下幾個(gè)相關(guān)標(biāo)準(zhǔn)：

（1）WebCryptographyAPI

該文檔定義了在Web應(yīng)用中執(zhí)行基本加解密操作的JavaScriptAPI，如哈希操作、簽名生成和驗(yàn)證，以及加解密操作等。

（2）CSP（ContentSecurityPolicy）

CSP是由W 3C的Web APP安全工作組（Web APP SecurityWG）制定的標(biāo)準(zhǔn)。該文檔定義了一個(gè)內(nèi)容安全策略的機(jī)制，這種策略可以使WebAPP的作者（或應(yīng)用服務(wù)器管理員）來通知客戶端從哪里裝載資源。這種安全機(jī)制可以減少一大類XSS攻擊。CSP具體通過HTTP頭：Content-Security-Policy來定義具體的內(nèi)容安全策略。

（3）Subresource Integrity

該文檔定義了一種機(jī)制，確?？蛻舳怂@得的資源是未被篡改的。

（4）DNT（TrackingPreferenceExpressing）

DNT是由W 3C的追蹤保護(hù)工作組（Tracking ProtectingWG）制定的標(biāo)準(zhǔn)，該文檔允許用戶通過一個(gè)簡單、可擴(kuò)展、靈活的瀏覽器設(shè)置表達(dá)自己對Web站點(diǎn)追蹤行為的偏好，為HTML5在保護(hù)用戶隱私方面提供保障。

3.2相關(guān)瀏覽器

（1）Firefox

Firefox瀏覽器有如下的安全保障：

●隱私保護(hù)：Firefox支持DNT（Do notTrack），用戶可以在瀏覽器中設(shè)置用戶隱私相關(guān)條款，可以選擇禁止網(wǎng)頁追蹤用戶行為。此外，F(xiàn)irefox還支持刪除用戶上網(wǎng)痕跡。

●網(wǎng)站安全檢查：Firefox可以標(biāo)識用戶當(dāng)前瀏覽的網(wǎng)站的安全性，包括是否加密、是否經(jīng)過身份認(rèn)證等信息，避免用戶瀏覽惡意網(wǎng)站。

●反釣魚和防惡意網(wǎng)站：Firefox有惡意網(wǎng)站列表，如果用戶訪問到惡意網(wǎng)站，瀏覽器會警告用戶。

●防惡意軟件：如果用戶下載含有惡意代碼的惡意軟件，瀏覽器會發(fā)出警告。

●自動安全更新：Firefox可以進(jìn)行自動更新，保證用戶使用最新和最佳的安全修補(bǔ)。

（2）GoogleChrome

Chrome在以下方面保證了瀏覽器安全：

●黑名單：Chrome會定期地更新防止網(wǎng)絡(luò)釣魚和惡意軟件的黑名單，并在用戶試圖瀏覽可能造成電腦損害的網(wǎng)站時(shí)予以警告。

●沙箱：Chrome中的每一個(gè)標(biāo)簽頁都是一個(gè)沙箱（Sandbox），以防止惡意軟件破壞用戶系統(tǒng)或利用標(biāo)簽頁影響其他標(biāo)簽頁。沙箱遵守最小權(quán)限原則，每個(gè)動作的權(quán)限都會被限制，例如僅能運(yùn)算而無法寫入文件和從敏感區(qū)域讀取文件（如我的文檔、桌面）。

●插件：插件通常并沒有統(tǒng)一的標(biāo)準(zhǔn)，且無法像標(biāo)簽頁般沙箱化。為了降低被攻擊的風(fēng)險(xiǎn)，插件是獨(dú)立運(yùn)行的。從5.0版本起，Chrome內(nèi)置AdobeFlash Player以確保使用的為最新版本降低被攻擊的風(fēng)險(xiǎn)。其后在9.0版本將Flash播放器內(nèi)置在沙箱中獨(dú)立運(yùn)行。

●多進(jìn)程：能容許多個(gè)程序同時(shí)運(yùn)行而互不影響，每個(gè)網(wǎng)頁標(biāo)簽獨(dú)立于窗口程序存在，當(dāng)資源過高或崩潰時(shí)，不會因?yàn)橐粋€(gè)停頓而整個(gè)瀏覽器崩潰。

●任務(wù)管理器：用戶可以查看哪些網(wǎng)站占用了最多的內(nèi)存、下載流量和CPU資源，有利于管理各個(gè)標(biāo)簽頁與插件，也便于用戶終止惡意操作。

●詐騙和惡意程序保護(hù)：當(dāng)Chrome偵測到瀏覽網(wǎng)站可能有害時(shí)，便會發(fā)出實(shí)時(shí)警告。

●自動更新：為確保受到最新版安全性更新的保護(hù)，Chrome會定期檢查更新，以確保更新永遠(yuǎn)為最新版本。

4　移動Web安全建議

根據(jù)前文對移動Web安全問題的分析以及當(dāng)前研究現(xiàn)狀，我們對移動Web安全提出一些建議，這些建議從移動終端、瀏覽器以及應(yīng)用服務(wù)器幾個(gè)角度出發(fā)。

4.1移動終端

移動終端應(yīng)該在以下幾個(gè)方面保證移動Web的安全：

●終端應(yīng)支持移動Web APP或?yàn)g覽器對Device API的授權(quán)訪問。移動Web APP或?yàn)g覽器在調(diào)用DeviceAPI時(shí)，終端應(yīng)提示用戶，得到用戶許可后，再對其進(jìn)行授權(quán)訪問控制。

●在安裝移動WebAPP時(shí)，移動終端操作系統(tǒng)應(yīng)支持對移動WebAPP進(jìn)行數(shù)字簽名的認(rèn)證，以確保移動WebAPP對于移動終端系統(tǒng)來說是可信任的。

●移動終端操作系統(tǒng)應(yīng)該維護(hù)和定時(shí)更新一個(gè)惡意網(wǎng)站的黑名單，當(dāng)移動WebAPP試圖訪問這個(gè)黑名單中的網(wǎng)站的時(shí)候，移動終端系統(tǒng)需要提醒用戶，并終止用戶的訪問動作。

4.2移動Web瀏覽器

●對于在瀏覽器中運(yùn)行的WebAPP，需要對服務(wù)器和WebAPP進(jìn)行認(rèn)證，以確保服務(wù)器和WebAPP是可信任的。認(rèn)證方式建議采用數(shù)字證書方式。

●瀏覽器在調(diào)用DeviceAPI接口時(shí)，需要獲得用戶的授權(quán)。授權(quán)方式一般采用首次調(diào)用提示用戶，經(jīng)用戶許可后才可進(jìn)行調(diào)用。對于關(guān)鍵的系統(tǒng)資源，如關(guān)鍵系統(tǒng)分區(qū)，應(yīng)該禁止DeviceAPI的訪問。

●Web CryptographyAPI定義了在Web應(yīng)用中執(zhí)行基本加解密操作的JavaScriptAPI，如哈希操作、簽名生成/驗(yàn)證以及加解密操作等，使用這些API，可以實(shí)現(xiàn)例如端到端的應(yīng)用數(shù)據(jù)的加解密、郵件的加解密與簽名等功能。

●瀏覽器應(yīng)提供一些針對常見XSS攻擊的XSS過濾器，防止一些常見的XSS攻擊。

●瀏覽器應(yīng)支持對Cookie訪問的保護(hù)，對不可信的服務(wù)器或WebAPP應(yīng)禁止訪問用戶Cookie相關(guān)的信息。瀏覽器應(yīng)支持DNT功能。DNT（DoNotTrack），由W 3C發(fā)布，是瀏覽器提供的防止用戶隱私泄露的功能。當(dāng)用戶選擇該功能后，瀏覽器在HTTP數(shù)據(jù)傳輸中添加一個(gè)HTTPHeader，這個(gè)頭信息向Web網(wǎng)站的服務(wù)器表明用戶不希望被追蹤。

●瀏覽器應(yīng)能對通過Web Storage存儲的用戶信息進(jìn)行加密存儲，以保護(hù)用戶隱私不被泄露。

●瀏覽器應(yīng)對Web服務(wù)器進(jìn)行判斷，以確保服務(wù)器是可信任的。可以采用黑白名單的方式，防止用戶訪問惡意網(wǎng)站，如釣魚網(wǎng)站。

4.3移動Web服務(wù)器

●Web服務(wù)器和移動WebAPP應(yīng)配有相關(guān)的數(shù)字證書，以支持瀏覽器對其認(rèn)證。

●Web服務(wù)器應(yīng)對接收到的請求進(jìn)行認(rèn)證，尤其是針對CORS的請求，要進(jìn)行身份認(rèn)證，如認(rèn)證Session ID，只有通過身份認(rèn)證的請求，才對其進(jìn)行處理。

●針對CORS（跨域資源共享）攻擊，Web服務(wù)器方應(yīng)遵循一個(gè)最小原則，即只向請求方暴露最小的、最必須的功能。

●CSP定義了對Web資源的訪問限制的一種策略，并定義了在服務(wù)器和客戶端之間傳遞策略并確保策略強(qiáng)制執(zhí)行的機(jī)制。Web服務(wù)器應(yīng)支持CSP。

●移動WebAPP應(yīng)支持WebCryptographyAPI，配合瀏覽器端實(shí)現(xiàn)安全的密碼操作。

●Web服務(wù)器應(yīng)支持DNT功能，配合瀏覽器實(shí)現(xiàn)用戶隱私保護(hù)。

●很多XSS攻擊和Web SQL攻擊都是利用Web頁面編寫的不完善，通過構(gòu)造特殊的輸入?yún)?shù)來達(dá)到攻擊的目的的。例如XSS攻擊是通過構(gòu)造Javascript腳本為輸入?yún)?shù)，進(jìn)而實(shí)現(xiàn)攻擊的目的。因此，在開發(fā)階段，Web服務(wù)器端對于輸入數(shù)據(jù)，應(yīng)進(jìn)行嚴(yán)格的審查。包括對URL、查詢關(guān)鍵字、HTTP頭、POST數(shù)據(jù)等，僅接受指定長度范圍內(nèi)、采用適當(dāng)格式、采用所預(yù)期的字符的內(nèi)容提交，對其他的一律過濾。

●在存在SQL輸入的頁面上，應(yīng)該設(shè)計(jì)SQL輸入形式不應(yīng)為可拼接的字符串，保證參數(shù)的輸入符合設(shè)定的類型。

5　結(jié)束語

根據(jù)前文所述，由于HTML5的一些新特點(diǎn)，給移動Web引入了一些新的安全問題。同時(shí)，各界針對移動Web的安全問題，也提出了針對性的防范方法，為電子數(shù)據(jù)取證工作拓寬了思路，有些安全問題還需要我們進(jìn)一步探索其防御之道。

HTML5作為下一代的Web技術(shù)已經(jīng)成為了不爭的事實(shí)。每個(gè)新技術(shù)的興起，都會存在安全的問題。不過從長遠(yuǎn)的角度來看，HTML5的優(yōu)勢依然非常明顯，只有增強(qiáng)HTML5的普及和應(yīng)用，更多的安全漏洞才會暴露出來并修正，未來才能夠更加安全。當(dāng)然，未雨綢繆地研究移動Web的安全保護(hù)策略以及相關(guān)電子取證工作也是非常有必要的。

Analysis on Mobile Web Security

LiLu，Liu Hongwei，Dai Fen，Cui Yuanyuan

On the basis of HTML5and HTTP2.0development，mobile web technique gets a whole progress.with the development of mobile web technique，it also brings some new security problem.This article fist analyses the security issues of mobile web，then introduces some security technology progress at present.According to the mobile web security issues and security research status，we put forward the thought of mobile web security，which can broaden the new ideas of electronic data forensics.

mobile web security；HTML5security；electronic data forensics

2016-01-10）