HTML 5安全代码扫描器

Question

市场上有扫描HTML 5代码的代码扫描器吗？

是否有人有需要/可以扫描的特定CORS配置的标签列表？

Answer 1

我为惠普工作，我知道我们的商业安全静态分析工具Fortify SCA确实支持HTML5安全问题。如果你决定走这条路，可以让我知道更多！

Answer 2

目前还没有“扫描器”，但是您可能能够用HTML5的新规则丰富现有的代码扫描器。OWASP 5安全测试表是编译此类规则的一个很好的资源，例如，它列出了不安全的CORS头配置，但它也涉及到其他HTML5主题，比如不安全的WebSockets配置。您还可以使用来自HTML5的http://html5sec.org/特性添加新的XSS向量--在GitHub上有一个纯文本版本的这些有效负载。