HTML-Applikation (kurz: HTA) ist ein Begriff von Microsoft für Computerprogramme, die den Internet Explorer (bzw. die zugehörige Systemkomponente mshta.exe) zur Ausführung nutzen. Es handelt sich dabei nur eingeschränkt um Webanwendungen, da die eingesetzten Skriptsprachen wie JScript oder Visual Basic Script Microsoft-eigene Techniken sind. Dabei werden den HTML-Applikationen spezielle Zugriffsrechte, wie etwa den Zugriff auf das Dateisystem oder andere ActiveX-Objekte, ohne explizite Erlaubnis des Benutzers gewährt.

Die Grundlage derartiger Anwendungen ist das sogenannte HTA:Application-Element, das ab Internet Explorer (Version 5.0) in Verbindung mit mindestens einem 32-Bit-Windows unterstützt wird. Dieses Element wird direkt in den Header gesetzt und bestimmt anhand der Attribute/Eigenschaften die Anwendung. HTA-Dateien werden vom Windows-Programm mshta.exe ausgeführt, auch – und das ohne Sicherheitswarnung – eingebettete JScript- oder andere Skripte. Speichert man eine Webseite als HTA-Datei, wird kein warnendes MoTW-Tag vergeben, so dass Windows beim Ausführen der Datei nicht warnt. Dies erleichtert Angriffe. Um dies zu vermeiden, sollte man die Ausführung von mshta.exe unterbinden, die Dateiendungs-Anzeige aktivieren und HTML-Anhänge in E-Mails blockieren.

Da HTML-Applikationen auch Cross-Site-Scripting erlauben, wurde zum Schutz der HTML-Applikation das Application-Attribut für die HTML-Elemente <frame> und <iframe> eingeführt. Ein Setzen des Attributs bewirkt, dass die im Frame geladene Webseite keinen Zugriff auf die HTML-Applikation erhält und somit keinen gefährlichen Code ausführt. Die Seite im Frames wird dann nicht wie die ganze HTML-Applikation in der Arbeitsplatz-Zone ausgeführt, sondern in der für Internet-Seiten üblichen Internet-Zone des Internet Explorers.

Visual Basic Script (VBS) ist eine der Programmiersprachen innerhalb von HTA-Dateien. Sie ermöglicht vielfältige Zugriffe auf das Betriebssystem. Dadurch gelten die Möglichkeiten und Beschränkungen von VBS auch für HTA-Dateien. Im Gegensatz zu einfachen *.VBS-Dateien bietet die HTA-Datei über Steuerelemente der HTML-Formulare Möglichkeiten, Eingaben abzufragen, Ausgaben zu schreiben und den Inhalt der HTML-Seite dynamisch anzupassen. Wie VBS wird der Code in HTA-Dateien interpretiert und nicht kompiliert, so dass kleine Dateien mit großem Funktionsumfang erstellt werden können und der Quellcode einsehbar ist.

• Electron (Framework) – Software mit gleichem Ansatz auf Basis von Chromium

• Microsoft stellt HTA im MSDN vor: Übersicht und Referenzen
• Einbinden von Skripts in eine grafische Benutzeroberfläche (Teil 1 von 2) Deutschsprachige Anleitung von Microsoft
• Bill Toulas: New FileFix attack runs JScript while bypassing Windows MoTW alerts
• HTMLWorld – HTA-Tutorial