HTML5是目前富互联网应用(RIA)中最重要的技术之一，由于得到了业界厂商的大力支持，发展迅速，已经成为未来Web应用发展的事实标准。新技术的引用，在给用户提供丰富多彩互联网的同时，也引入了新的安全问题：CORS、XHR-LEVEL2等已经打破了浏览器原有的同源策略准则(SOP)；Web Storage、Application Cache等新功能在增强客户端能力的同时，也提供了一些新型的客户端攻击机制；Web Workers、Web Socket等新特性则引入了新的滥用手段。在中国互联网上，越来越多的网站开始逐步采用HTML5技术，但在安全防护方面还存在众多弱点。与此同时，目前大多数Web应用扫描器都不具备检测HTML5安全问题的特性，这使得HTML5 安全问题在安全评估与渗透测试过程中成为盲点。本文深入探讨了HTML5新引入的安全威胁，通过对国内支持HTML5大型网站的测试发现了大量安全问题，并对现有Web应用扫描器对HTML5支持情况进行了调查分析，结果验证了国内互联网网站对于HTML5新形态安全威胁的脆弱性。