¿Hay escáneres de código en el mercado que escanean código HTML 5?
¿Alguien tiene una lista de etiquetas de configuraciones CORS específicas que necesitan / pueden ser escaneadas?
Todavía no hay 'escáneres', pero es posible que pueda enriquecer los escáneres de códigos existentes con nuevas reglas para HTML5. Choleta de seguridad HTML5 OWASP es un buen recurso que puede usar para compilar tales reglas, por ejemplo, enumera la configuración insegura de encabezados CORS. , pero también toca otros temas HTML5 como la configuración insegura de WebSockets. También puede agregar por ej. nuevos vectores XSS que usan funciones HTML5 de enlace : hay una versión de estas cargas útiles solo para texto en GitHub .
Lea otras preguntas en las etiquetas web-application code-review html-5