本文關(guān)鍵詞：基于HTML5應(yīng)用的Chrome瀏覽器安全支付插件設(shè)計(jì)，，由筆耕文化傳播整理發(fā)布。

【摘要】：HTML5是Web技術(shù)的新標(biāo)準(zhǔn),更豐富的功能、更多跨平臺(tái)的支持和更合理的定義都是其立足互聯(lián)網(wǎng)發(fā)展潮流的優(yōu)勢(shì),隨著HTML5技術(shù)的不斷成熟以及富互聯(lián)網(wǎng)應(yīng)用帶來(lái)的機(jī)會(huì),Web頁(yè)面和Web應(yīng)用將全部采用HTML5技術(shù)。如今,網(wǎng)上購(gòu)物和網(wǎng)上銀行以其簡(jiǎn)易的流程、更低的折扣和更高的收益改變著越來(lái)越多人的購(gòu)物和理財(cái)觀念,網(wǎng)上購(gòu)物、網(wǎng)銀轉(zhuǎn)賬支付和購(gòu)買網(wǎng)上理財(cái)產(chǎn)品已經(jīng)成為大多數(shù)人每天生活必不可少的一部分。網(wǎng)上購(gòu)物和支付離不開客戶端瀏覽器,而Chrome瀏覽器以其快速的搜索和極高的安全性能在市場(chǎng)上占據(jù)了大量的份額。在這種大環(huán)境和前提下,研究基于HTML5應(yīng)用的Chrome瀏覽器安全支付有很好的前瞻性和切實(shí)的必要性。HTML5技術(shù)雖然會(huì)給人們的生活帶來(lái)諸多便利,但同時(shí)也帶來(lái)了不少的安全問(wèn)題,更重要的是現(xiàn)有安全策略對(duì)這些問(wèn)題大都無(wú)法防御。本文從HTML5安全支付的角度出發(fā),進(jìn)行了以下幾方面的研究和設(shè)計(jì):1.從五個(gè)方面對(duì)HTML5的安全問(wèn)題進(jìn)行分析,分別是HTML5新標(biāo)簽和新屬性引發(fā)的新型XSS攻擊、利用WebSocket協(xié)議進(jìn)行的內(nèi)網(wǎng)掃描、利用WebStorage進(jìn)行的敏感信息竊取、利用拖放事件進(jìn)行的新型劫持攻擊和由WebWorker引發(fā)的DDos攻擊。2.按照漏洞利用、支付相關(guān)和客戶端實(shí)現(xiàn)三方面的不同,將上面的問(wèn)題規(guī)整為XSS和WebSocket濫用,并進(jìn)行安全支付插件設(shè)計(jì)和實(shí)現(xiàn)。3.針對(duì)XSS的防御中,通過(guò)獲頁(yè)面URL和監(jiān)控頁(yè)面輸入框內(nèi)容變化,針對(duì)可以引起XSS的新標(biāo)簽和新屬性,采取比原有防御策略更為嚴(yán)格的正則表達(dá)式匹配,對(duì)獲取內(nèi)容分別進(jìn)行黑名單過(guò)濾和白名單過(guò)濾�？紤]了新標(biāo)簽和屬性各種可能的攻擊形式,黑、白名單設(shè)置跟以往的安全策略相比,內(nèi)容更豐富,防御更全面。4.針對(duì)利用WebSocket進(jìn)行的內(nèi)網(wǎng)IP掃描、端口掃描和個(gè)人IP探測(cè),此插件采用信息嗅探和特征參數(shù)匹配的方法對(duì)攻擊行為和正常行為進(jìn)行判別。其中對(duì)非法請(qǐng)求的判定是在仔細(xì)研究此協(xié)議的基礎(chǔ)上自己總結(jié)得來(lái),目前并無(wú)類似方法,具有獨(dú)創(chuàng)性。文章最后的攻擊測(cè)試顯示,針對(duì)HTML5的攻擊行為確實(shí)存在。防御測(cè)試顯示,安裝此插件后,對(duì)這些攻擊都進(jìn)行了成功的防御。由此得出,本文所采取的防御方法確實(shí)對(duì)HTML5的新型攻擊有效,對(duì)基于HTML5應(yīng)用的安全支付提供了有力保障。
【關(guān)鍵詞】：HTML5 Chrome 安全支付 XSS WebSocket 防御 插件
【學(xué)位授予單位】：西安電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.092
【目錄】：

• 摘要5-6
• ABSTRACT6-11
• 縮略語(yǔ)對(duì)照表11-14
• 第一章 緒論14-20
• 1.1 研究背景14-15
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀15-17
• 1.3 現(xiàn)有支付流程及HTML5技術(shù)的引入17-18
• 1.4 課題支持18
• 1.5 論文主要內(nèi)容及框架18-20
• 第二章 HTML5安全問(wèn)題分析20-30
• 2.1 HTML5帶來(lái)的新安全問(wèn)題概述20-21
• 2.2 HTML5新標(biāo)簽和新事件引入的跨站腳本攻擊21-23
• 2.3 WebSocket安全問(wèn)題23-26
• 2.4 本地存儲(chǔ)安全問(wèn)題26-28
• 2.5 拖放劫持攻擊28
• 2.6 WebWorker安全問(wèn)題28-29
• 2.7 本章小結(jié)29-30
• 第三章 針對(duì)HTML5安全支付問(wèn)題的防御30-40
• 3.1 跨站腳本防御30-35
• 3.1.1 XSS Filter防御策略30-34
• 3.1.2 基于行為的XSS防御策略34-35
• 3.2 WebSocket安全問(wèn)題防御35-37
• 3.2.1 限制輸入和充分驗(yàn)證Origin字段頭36
• 3.2.2 通過(guò)秘鑰掩蓋所有從客戶端發(fā)送到服務(wù)器的數(shù)據(jù)36-37
• 3.2.3 其他防御方案37
• 3.3 本章小結(jié)37-40
• 第四章 HTML5安全支付插件設(shè)計(jì)與效果測(cè)試40-68
• 4.1 插件整體結(jié)構(gòu)與設(shè)計(jì)思路40-42
• 4.2 XSS防御策略實(shí)現(xiàn)42-47
• 4.2.2 反射型XSS的防御43-45
• 4.2.3 存儲(chǔ)型XSS的防御45-47
• 4.3 WebSocket安全問(wèn)題的防御實(shí)現(xiàn)47-49
• 4.4 攻擊及插件防御測(cè)試49-64
• 4.4.1 XSS攻擊測(cè)試及分析49-54
• 4.4.2 XSS防御測(cè)試及分析54-58
• 4.4.3 WebSocket攻擊測(cè)試及分析58-61
• 4.4.4 WebSocket防御測(cè)試及分析61-64
• 4.5 插件整體性能分析64-66
• 4.6 本章小結(jié)66-68
• 第五章 總結(jié)與展望68-70
• 5.1 總結(jié)68-69
• 5.2 展望69-70
• 參考文獻(xiàn)70-74
• 致謝74-76
• 作者簡(jiǎn)介76-77

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前1條

1 王榮國(guó);;HTML5帶來(lái)的WEB應(yīng)用變革及安全問(wèn)題研究[J];電腦開發(fā)與應(yīng)用;2012年07期

  本文關(guān)鍵詞：基于HTML5應(yīng)用的Chrome瀏覽器安全支付插件設(shè)計(jì)，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：462820