基于HTML5應(yīng)用的Safari瀏覽器安全支付插件開(kāi)發(fā).pdf

1、自從HTML5技術(shù)標(biāo)準(zhǔn)制定后，HTML5新技術(shù)不斷給開(kāi)發(fā)者帶來(lái)新的富媒體功能，如本地存儲(chǔ)技術(shù)等。隨著第三方支付越來(lái)越盛行，基于HTML5的移動(dòng)支付開(kāi)發(fā)無(wú)疑會(huì)逐漸成為支付開(kāi)發(fā)的主流。HTML5技術(shù)不僅給第三方支付應(yīng)用開(kāi)發(fā)帶來(lái)了方便，也帶來(lái)了HTML5自身的安全隱患。Safari作為全球排名靠前的瀏覽器，支持很多基于HTML5的第三方支付應(yīng)用，因此迫切需要給出能夠防御此類(lèi)安全威脅的解決方案。目前國(guó)內(nèi)外對(duì)于這方面的安全研究大部分停留在建議階段

2、，沒(méi)有統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，Safari瀏覽器關(guān)于HTML5的安全防御方案還未成型。針對(duì)這種現(xiàn)狀，本文在現(xiàn)有研究的基礎(chǔ)上給出基于HTML5應(yīng)用的Safari瀏覽器安全支付插件設(shè)計(jì)方案。
　　本文首先分析了國(guó)內(nèi)外HTML5安全問(wèn)題研究現(xiàn)狀，然后對(duì)HTML5常見(jiàn)的安全問(wèn)題進(jìn)行分類(lèi)，給出攻擊實(shí)例，并針對(duì)具體的攻擊方式總結(jié)傳統(tǒng)的防御方法。重點(diǎn)分析XSS以及本地存儲(chǔ)存在的安全隱患的原因，從客戶(hù)端角度考慮，給出 Safari擴(kuò)展方案來(lái)防御基于HTM

3、L5開(kāi)發(fā)出應(yīng)用的安全問(wèn)題。
　　具體方案如下：1.對(duì)URL和Input框進(jìn)行黑名單檢測(cè)，防御HTML5新特性新標(biāo)簽帶來(lái)的反射型XSS和DOM型XSS;2.針對(duì)本地存儲(chǔ)常用明文存儲(chǔ)的不安全性，給出基于Base64編碼的改進(jìn)算法來(lái)進(jìn)行本地?cái)?shù)據(jù)的編碼加密，起到防止惡意代碼滋生與本地?cái)?shù)據(jù)加密的功能;3.最后對(duì)于一些新功能帶來(lái)的安全威脅，本文給出基本的防御方案和建議,如離線緩存可能帶來(lái)的安全問(wèn)題，給出基于密碼學(xué)DSS簽名算法的簡(jiǎn)單簽名方案，