基于HTML5應(yīng)用的Chrome瀏覽器安全支付插件設(shè)計(jì).pdf

1、HTML5是Web技術(shù)的新標(biāo)準(zhǔn)，更豐富的功能、更多跨平臺(tái)的支持和更合理的定義都是其立足互聯(lián)網(wǎng)發(fā)展潮流的優(yōu)勢(shì)，隨著HTML5技術(shù)的不斷成熟以及富互聯(lián)網(wǎng)應(yīng)用帶來的機(jī)會(huì)，Web頁面和Web應(yīng)用將全部采用HTML5技術(shù)。如今，網(wǎng)上購物和網(wǎng)上銀行以其簡易的流程、更低的折扣和更高的收益改變著越來越多人的購物和理財(cái)觀念，網(wǎng)上購物、網(wǎng)銀轉(zhuǎn)賬支付和購買網(wǎng)上理財(cái)產(chǎn)品已經(jīng)成為大多數(shù)人每天生活必不可少的一部分。網(wǎng)上購物和支付離不開客戶端瀏覽器，而Chrome瀏

2、覽器以其快速的搜索和極高的安全性能在市場(chǎng)上占據(jù)了大量的份額。在這種大環(huán)境和前提下，研究基于HTML5應(yīng)用的Chrome瀏覽器安全支付有很好的前瞻性和切實(shí)的必要性。
　　HTML5技術(shù)雖然會(huì)給人們的生活帶來諸多便利，但同時(shí)也帶來了不少的安全問題，更重要的是現(xiàn)有安全策略對(duì)這些問題大都無法防御。本文從HTML5安全支付的角度出發(fā)，進(jìn)行了以下幾方面的研究和設(shè)計(jì)：
　　1.從五個(gè)方面對(duì)HTML5的安全問題進(jìn)行分析，分別是HTML5新標(biāo)

3、簽和新屬性引發(fā)的新型XSS攻擊、利用WebSocket協(xié)議進(jìn)行的內(nèi)網(wǎng)掃描、利用WebStorage進(jìn)行的敏感信息竊取、利用拖放事件進(jìn)行的新型劫持攻擊和由WebWorker引發(fā)的DDos攻擊。
　　2.按照漏洞利用、支付相關(guān)和客戶端實(shí)現(xiàn)三方面的不同，將上面的問題規(guī)整為XSS和WebSocket濫用，并進(jìn)行安全支付插件設(shè)計(jì)和實(shí)現(xiàn)。
　　3.針對(duì)XSS的防御中，通過獲頁面URL和監(jiān)控頁面輸入框內(nèi)容變化，針對(duì)可以引起XSS的新標(biāo)簽和

4、新屬性，采取比原有防御策略更為嚴(yán)格的正則表達(dá)式匹配，對(duì)獲取內(nèi)容分別進(jìn)行黑名單過濾和白名單過濾?？紤]了新標(biāo)簽和屬性各種可能的攻擊形式，黑、白名單設(shè)置跟以往的安全策略相比，內(nèi)容更豐富，防御更全面。
　　4.針對(duì)利用WebSocket進(jìn)行的內(nèi)網(wǎng)IP掃描、端口掃描和個(gè)人IP探測(cè)，此插件采用信息嗅探和特征參數(shù)匹配的方法對(duì)攻擊行為和正常行為進(jìn)行判別。其中對(duì)非法請(qǐng)求的判定是在仔細(xì)研究此協(xié)議的基礎(chǔ)上自己總結(jié)得來，目前并無類似方法，具有獨(dú)創(chuàng)性。