Ci sono scanner di codici sul mercato che analizzano il codice HTML 5?
Qualcuno ha un elenco di tag con configurazioni CORS specifiche che richiedono / possono essere scansionate?
Lavoro per HP e so che il nostro strumento di analisi statica basato sulla sicurezza commerciale, Fortify SCA, supporta i problemi di sicurezza HTML5. Sentiti libero di farmi sapere di più se decidi di seguire questa strada!
Non ci sono ancora "scanner", ma potresti essere in grado di arricchire gli scanner di codici esistenti con nuove regole per HTML5. OWASP HTML5 Security Cheatsheet è una buona risorsa che potresti usare per compilare tali regole, per esempio elenca la configurazione di intestazioni CORS non sicure , ma tocca anche altri argomenti HTML5 come la configurazione WebSockets non sicura. Puoi anche aggiungere, ad es. nuovi vettori XSS che utilizzano le funzionalità HTML5 dal link - esiste una versione solo testo di questi payload su GitHub .
Leggi altre domande sui tag web-application code-review html-5