我在惠普工作，我知道我们专注于商业安全的静态分析工具 Fortify SCA 确实支持 HTML5 安全问题。如果您决定走这条路，请随时告诉我更多信息！

目前还没有“扫描器”，但您可以使用 HTML5 的新规则来丰富现有的代码扫描器。OWASP HTML5 Security Cheatsheet是一个很好的资源，您可以使用它来编译此类规则，例如它列出了不安全的 CORS 标头配置，但它也涉及其他 HTML5 主题，例如不安全的 WebSockets 配置。您还可以使用来自http://html5sec.org/ 的HTML5 功能添加例如新的 XSS 向量- 在GitHub 上有这些有效负载的纯文本版本。