自从HTML5技术标准制定后，HTML5新技术不断给开发者带来新的富媒体功能，如本地存储技术等。随着第三方支付越来越盛行，基于HTML5的移动支付开发无疑会逐渐成为支付开发的主流。HTML5技术不仅给第三方支付应用开发带来了方便，也带来了HTML5自身的安全隐患。Safari作为全球排名靠前的浏览器，支持很多基于HTML5的第三方支付应用，因此迫切需要给出能够防御此类安全威胁的解决方案。目前国内外对于这方面的安全研究大部分停留在建议阶段，没有统一的规范标准，Safari浏览器关于HTML5的安全防御方案还未成型。针对这种现状，本文在现有研究的基础上给出基于HTML5应用的Safari浏览器安全支付插件设计方案。　　本文首先分析了国内外HTML5安全问题研究现状，然后对HTML5常见的安全问题进行分类，给出攻击实例，并针对具体的攻击方式总结传统的防御方法。重点分析XSS以及本地存储存在的安全隐患的原因，从客户端角度考虑，给出 Safari扩展方案来防御基于HTML5开发出应用的安全问题。　　具体方案如下：1.对URL和Input框进行黑名单检测，防御HTML5新特性新标签带来的反射型XSS和DOM型XSS;2.针对本地存储常用明文存储的不安全性，给出基于Base64编码的改进算法来进行本地数据的编码加密，起到防止恶意代码滋生与本地数据加密的功能;3.最后对于一些新功能带来的安全威胁，本文给出基本的防御方案和建议,如离线缓存可能带来的安全问题，给出基于密码学DSS签名算法的简单签名方案，来防御对离线到本地文件的伪造。