跨域通信

　　而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的服务器，而HTML5放宽了这个限制，XML HTTP请求可以发送给任何允许这种请求的服务器。当然，如果服务器不可信任的话，这也会带来严重安全问题。

　　“例如，我可以建立一个mashup(糅合，将两种以上使用公共或者私有数据库的web应用合并形成一个整合应用)通过JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来，”Cornell表示，“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说HTML5允许新类型的应用程序的建立，但如果开发人员在开始使用这些功能时，并不理解他们所建立的应用程序的安全意义，那么将会给用户带来很大安全风险。”

　　对于依赖于PostMessage()来编写应用程序的开发人员而言，必须仔细检查以确保信息是来源于他们自己的网站，否则来自其他网站的恶意代码可能会制造恶意信息，Wysopal补充说。这个功能本身并不是安全的，开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通讯。

　　另一个相关问题是，万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

　　“IE部署的安全功能与Firefox、Chrome以及Safari都不相同，”他指出，“开发人员需要确保他们创建过于宽松访问控制列表的危害，特别是因为某些参考代码目前非常不安全。