web前端-Web应用前端安全策略研究及应用.pdf资源-CSDN文库

版权申诉

71 浏览量 2022-06-20 23:10:50 上传评论收藏 509KB PDF 举报

资源详情

资源评论

摘要

随着 W3C 标准的完善以及浏览器环境环境的日益改进，Web 应用已经逐渐

成为了网站开发的主要方式。由于移动互联网的热潮的来临，Web 应用也借由"

混合" 应用 (Hybrid Application) 的开发模式进入了移动应用开发的领域。如今的

Web 应用已经渗透到了到互联网的各个角落。然而，Web 应用的安全问题一直

是一个较少受到关注的领域，专门针对 Web 应用安全问题的基础库的缺乏也使

得开发者在开发过程中难以对安全隐患进行探测和防范。

本文通过对现今 Web 应用安全问题的研究现状进行描述，针对几个较为常

见的安全问题进行详细分析，并针对每个问题提出了全新解决方案。在第二章

中详细分析了 JavaScript 劫持的相关问题，提出了在开发阶段和使用阶段进行

探测的防范措施；在第三章中详细分析了 XSS 攻击的相关问题，提出了使用

Observer 对静态 DOM 进行监视，对动态标签创建方法进行重写的防范措施；在

第四章中详细分析了用户追踪的相关问题，提出了 EverCookie 和 Canvas 指纹相

结合的防范措施。本文的创新点在于针对三个常见的 Web 应用安全问题提出了

全新的解决方案，和之前被动防守的思路不同，本文中提到的方法注重于主动

出击，将问题防患于未然。另外，并创新性的将三种问题的解决方案合并到一

起形成了一个针对 Web 应用安全的功能库 Ace.js，该功能库已经在 Github 上开

源。

Web 应用是现在现代 Web 技术发展的热点，也是面向未来的应用开发方

式。本文中提到的问题和方法，对当前 Web 应用开发有重要的指导意义；根据

本文产生的 Ace.js 功能库，对当前 Web 应用开发有重要的使用价值。

关键词： Web 应用、Web 安全、JavaScript 劫持、XSS、用户追踪

万方数据

Abstract

With the improvement of W3C standards and increasingly improved environment

of browser, Web applications have become the mode form of web development. Due to

the advent of the mobile Internet boom, the "hybrid" applications (Hybrid Application)

development bring Web applications into the field of mobile application development.

Web applications are everywhere in Internet nowadays. However, the security of Web

applications is an area that has received less attention, and lack for the utility library of

Web application security issues but also make developers difficult to detect and prevent

security risks in the developing process.

By studying the status of the current Web application security issues, the article

analyzes in detail for several of the common security issues, and proposed a new so-

lution for every problem. The second chapter analyzes the issues related to JavaScript

hijacking, and prompt the "detection method" in the development and use phases; the

third chapter analyzes the issues related to XSS attacks, proposed the use of the Observ-

er monitoring for static DOM , and rewrite dynamic label creation methods; the fourth

chapter analyzes the issues related to user tracking, prompt preventive measures pro-

posed EverCookie and Canvas combine fingerprint. The innovation point of this paper

is to address three common Web application security issues put forward a new solution.

Contrary to the solutions before, solutions in this article are so much positive rather than

negative. In addition, a JavaScript library named Ace.js is created by the solutions in

this article, and already open source on Github.

Web applications are not only hot now modern Web technology development, but

also for the future of application development approach. Problems and methods men-

tioned in this article, the current Web application development has important guiding

significance; the Ace.js libraries will has an important value to the current Web appli-

cation development .

Key Words: Web Application, Web Security, JavaScript Hijacking, XSS, Customer

location

万方数据

第一章引言 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· · ·· · ·· ··· ··· 1

第一节 Web 应用安全研究现状 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 1

第二节本文创新点 ··· ··· ··· ·· · ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ·· · ··· ··· ··· 3

第二章 JavaScript 劫持 ··· ··· ··· ··· ··· ··· · ·· · ·· ··· ··· ··· ··· ··· ··· ··· 4

第一节 JavaScript 劫持机制研究 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 4

第二节 JavaScript 劫持防范措施 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 9

第三章 XSS 攻击··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· · ·· ··· ··· ··· ··· ··· 11

第一节 XSS 攻击机制分析 ··· ··· ·· · ··· ··· ··· ··· ··· ··· ··· ··· ··· ·· · ··· ··· ··· 11

第二节 XSS 攻击防范措施 ··· ··· ·· · ··· ··· ··· ··· ··· ··· ··· ··· ··· ·· · ··· ··· ··· 14

第四章用户追踪··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· · ·· · ·· ··· 22

第一节用户追踪风险分析 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 22

第二节用户追踪风险防范 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 22

第五章总结和展望 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 24

参考文献 ··· ··· ··· ··· ··· ··· · ·· · ·· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 25

致谢 ··· ··· ··· ··· ··· ··· · ·· · ·· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 27

附录 ··· ··· ··· ··· ··· ··· · ·· · ·· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 28

第一节命名空间 ··· ··· ·· · ··· ··· ··· ··· ··· ··· ··· ··· ··· ·· · ··· ··· ··· ··· ··· ·· · 28

第二节 AJAX 模块··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ·· · ··· ··· ··· ··· ··· ·· · 28

第三节 XSS 模块 ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 30

第四节用户追踪模块··· ··· ··· ·· · ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ·· · ··· ··· 31

个人简历 ··· ··· ··· ··· ··· ··· · ·· · ·· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· ··· 34

III

万方数据

第一章引言

第一节 Web 应用安全研究现状

Web 应用，即 Web Application，指的是基于浏览器的应用软件

[1]

。传统的

网页应用，重点部分在于在于后端，当用户从一个场景跳转到另一个场景时，

浏览器的 URL 发生变化，页面在后端进行渲染之后返回到浏览器前端，应用的

主要逻辑在后端进行，而前端仅作为整个应用的视图部分，用于展示经过后端

渲染之后的代码。而随着 W3C 标准的完善和浏览器的环境的改善，浏览器端处

理事务逻辑的能力大大加强，大部分的应用逻辑可以在浏览器端运行。Web 应

用带来的好处有以下几点：

1. 在应用使用过程中，浏览器无需多次进行刷新，这大大节省了数据在服

务器端和浏览器端传输所需要的时间；

2. 应用无需在本地进行安装，只需要浏览器即可。而借助 Application cache

技术，Web 应用甚至可以在本地进行缓存，在使用上达到和原生应用一

样的体验；

3. 对于 Web 应用中的少量数据存储需求，只需要使用 Web Storage[2] 接口

即可，而后端服务器仅作为第一次加载应用及大量存储数据之用，实现

了大量数据存储逻辑和应用业务逻辑之间的解耦，应用结构和逻辑更加

清晰；

在 Web 应用出现之前，软件开发普遍采用的是 CS 模式 [3]，即 Client-Server

模式，它指的是根据不同平台（Windows、Linux）开发不同的原生客户端应用

来处理业务逻辑，而数据获取和存储的部分则交由后端服务器进行处理。相较

于 CS 模式，基于 Web 应用的 BS 模式 [4] 由于应用本身在浏览器内运行，因此

无需针对不同平台开发不同的客户端，一次开发，就可以实现多平台运行。另

外，相较于传统的 CS 应用来说，Web 应用具有开发速效率高，迭代速度快等

特点。近些年来，基于 CS 模式的开发的软件越来越少，取而代之的则是 Web

应用在软件开发领域大行其道。

万方数据

第一章引言

和传统软件开发类似，移动应用中也越来越多能看到 Web 应用的身影。由

于 Android 和 iOS 系统均对 WebView[5] 有良好的支持，基于 Web 应用技术的"

混合" 应用也成为了移动应用中常见的一种。所谓的" 混合" 应用指的是将原生

应用开发和 Web 应用开发相结合的一种开发方式。" 混合" 应用在应用不同场景

的切换过程中，将视图的一个部分或者多个部分插入 WebView 组件，并在其中

加载相应的 Web 应用。浏览器由于本身性能的限制，并不适合用来实现一些复

杂的交互效果。但是对于纯展示性的功能来说，Web 应用实现起来绰绰有余。

借助 CSS3 动画 [6] 的强大功能，一些复杂的动画效果使用 Web 技术来实现甚

至更加简单。" 混合" 应用的思路，就是将 WebView 组件穿插在视图之中，将可

以使用 Web 技术来实现的部分尽量使用 Web 技术来实现。另外，通过 Android

和 iOS 系统内部的 JSBridge 技术，可以实现在 WebView 组件内使用 JavaScript

调用系统原生接口，让 Web 应用突破浏览器沙盒的限制，最大程度的发挥 Web

技术的长处。相较于传统的纯原生应用来说，基于 Web 应用的" 混合" 应用的好

处不言而喻。传统的原生应用在每次进行功能变化时需要进行新的发版，这也

意味着用户必须每次进行安装才能使用新功能。而" 混合" 应用由于在 WebView

视图的部分加载的是远程服务器端的资源，因此 WebView 部分的功能变化无需

发新版，可以实现功能的实时更新和快速迭代。这对于飞速发展的移动互联网

行业来说，无疑是一个最好的选择。

如今的 Web 应用蓬勃发展，方兴未艾，但就开发 Web 应用使用的 JavaScript

来说，几乎每周都有新的框架诞生 [7]。单是人气旺盛、炙手可热的就有

Backbone.js、AngularJS、Ember.js、React.js、Aurelia.js 等等，新出现还不那么

为人所知的框架和库更是不计其数。为了更好的开发 Web 应用，各种各样的开

发模式被引入到 Web 应用开发中来，常见的有 MVC 模式、MVP 模式 [8] 以及

近些年大行其道的 MVVM 模式 [9]。介绍 Web 应用开发框架的资料更是数不胜

数 [10]。

而与之相比，Web 应用的安全问题则不那么被人重视。一般 Web 应用安全

问题的暴露，主要有两条途径：

1. 白帽子工程师发现问题，并向开发人员提出修改建议；

2. Web 应用由于安全问题受到大规模攻击，开发人员意识到安全隐患的存

在，针对问题做出修改措施；

万方数据

剩余36页未读，继续阅读

评论收藏

内容反馈

版权申诉

web前端-Web应用前端安全策略研究及应用.pdf

评论0

最新资源

web前端-Web应用前端安全策略研究及应用.pdf

评论0

最新资源

相关推荐

WEB前端安全之同源策略.pdf

计算机网络安全技术：使用web应用防火墙保护网站.pdf

基于Web应用的系统安全策略.pdf

云计算应用及其安全策略研究.pdf

安全技术-系统安全-手机操作系统安全策略模型研究与应用.pdf

web前端-Web前端性能优化的研究与应用.pdf

web前端-绩效考核表

web前端-双模手机射频前端技术研究.pdf

web前端-X波段多普勒测速雷达前端研究.pdf

org.springframework.web.servlet-3.0.1.RELEASE-A.jar

web前端-说话人识别的前端处理研究.pdf

web前端-逆变系统前端变换器的研究.pdf

web前端-接收机前端N通道滤波器的谐波分析与抑制机理的应用研究.pdf

计算机前端-Web前端.DAY12-.avi

计算机前端-Web前端.DAY12-.mp4

web前端-基于HTML5的WebGIS研究.pdf

web前端-射频接收集成前端低功耗技术研究.pdf

前端-web前端-模板-各行各业二十个模板7.13.2

前端-web前端-模板-各行各业二十个模板7.10.3

web前端-数据仓库前端工具的研究与开发.pdf

前端-web前端-模板-各行各业二十个模板7.10.6

web前端-基于组件化Web GIS前端可视化框架关键技术研究.pdf

前端-web前端-模板-各行各业二十个模板7.10.4

web前端-四次谐波混频X波段雷达接收机前端研究.pdf

Origin绘制相关性热图插件(Correlation Plot)

（免费）Chrome浏览器插件axure-chrome-extension

vep视频快速加密提取器

2011-2022年北大数字普惠金融指数数据（包括省市县）.zip

最新版YS9082HC主控开卡工具 YS9082HC-MPToolV8.00.00.18.826-HCS1A25E2023062