基于HTML5应用的Chrome浏览器安全支付插件设计

摘要

HTML5是Web技术的新标准，更丰富的功能、更多跨平台的支持和更合理的定义都是其立足互联网发展潮流的优势，随着HTML5技术的不断成熟以及富互联网应用带来的机会，Web页面和Web应用将全部采用HTML5技术。如今，网上购物和网上银行以其简易的流程、更低的折扣和更高的收益改变着越来越多人的购物和理财观念，网上购物、网银转账支付和购买网上理财产品已经成为大多数人每天生活必不可少的一部分。网上购物和支付离不开客户端浏览器，而Chrome浏览器以其快速的搜索和极高的安全性能在市场上占据了大量的份额。在这种大环境和前提下，研究基于HTML5应用的Chrome浏览器安全支付有很好的前瞻性和切实的必要性。
　　HTML5技术虽然会给人们的生活带来诸多便利，但同时也带来了不少的安全问题，更重要的是现有安全策略对这些问题大都无法防御。本文从HTML5安全支付的角度出发，进行了以下几方面的研究和设计：
　　1.从五个方面对HTML5的安全问题进行分析，分别是HTML5新标签和新属性引发的新型XSS攻击、利用WebSocket协议进行的内网扫描、利用WebStorage进行的敏感信息窃取、利用拖放事件进行的新型劫持攻击和由WebWorker引发的DDos攻击。
　　2.按照漏洞利用、支付相关和客户端实现三方面的不同，将上面的问题规整为XSS和WebSocket滥用，并进行安全支付插件设计和实现。
　　3.针对XSS的防御中，通过获页面URL和监控页面输入框内容变化，针对可以引起XSS的新标签和新属性，采取比原有防御策略更为严格的正则表达式匹配，对获取内容分别进行黑名单过滤和白名单过滤。考虑了新标签和属性各种可能的攻击形式，黑、白名单设置跟以往的安全策略相比，内容更丰富，防御更全面。
　　4.针对利用WebSocket进行的内网IP扫描、端口扫描和个人IP探测，此插件采用信息嗅探和特征参数匹配的方法对攻击行为和正常行为进行判别。其中对非法请求的判定是在仔细研究此协议的基础上自己总结得来，目前并无类似方法，具有独创性。
　　文章最后的攻击测试显示，针对HTML5的攻击行为确实存在。防御测试显示，安装此插件后，对这些攻击都进行了成功的防御。由此得出，本文所采取的防御方法确实对HTML5的新型攻击有效，对基于HTML5应用的安全支付提供了有力保障。

目录

封面

声明

中文摘要

英文摘要

插图索引

表格索引

缩略语对照表

目录

第一章 绪论

1.1研究背景

1.2国内外研究现状

1.3现有支付流程及HTML5技术的引入

1.4课题支持

1.5论文主要内容及框架

第二章 HTML5安全问题分析

2.1 HTML5带来的新安全问题概述

2.2 HTML5新标签和新事件引入的跨站脚本攻击

2.3 WebSocket安全问题

2.4本地存储安全问题

2.5拖放劫持攻击

2.6 WebWorker安全问题

2.7本章小结

第三章 针对HTML5安全支付问题的防御

3.1跨站脚本防御

3.2 WebSocket安全问题防御

3.3本章小结

第四章 HTML5安全支付插件设计与效果测试

4.1插件整体结构与设计思路

4.2 XSS防御策略实现

4.3 WebSocket安全问题的防御实现

4.4攻击及插件防御测试

4.5插件整体性能分析

4.6本章小结

第五章 总结与展望

5.1总结

5.2展望

参考文献

致谢

作者简介