主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公English
2020-2021年专刊出版计划 微信服务介绍 最新一期:2020年第10期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
罗武,沈晴霓,吴中海,吴鹏飞,董春涛,夏玉堂.浏览器同源策略安全研究综述.软件学报,0,(0):0
浏览器同源策略安全研究综述
State-of-the-Art Survey of Browser's Same Origin Policy Security
投稿时间:2020-04-26  修订日期:2020-08-13
DOI:10.13328/j.cnki.jos.006153
中文关键词:  同源策略  浏览器安全  第三方脚本  跨源机制  内存攻击
英文关键词:same origin policy  browser security  third-party script  cross-origin schemes  memory attacks
基金项目:国家自然科学基金(61672062,61232005)
作者单位E-mail
罗武 北京大学 信息科学技术学院, 北京 100871
北京大学 软件工程国家工程中心, 北京 100871 
 
沈晴霓 北京大学 软件与微电子学院, 北京 100871
北京大学 软件工程国家工程中心, 北京 100871 
qingnishen@ss.pku.edu.cn 
吴中海 北京大学 软件与微电子学院, 北京 100871
北京大学 软件工程国家工程中心, 北京 100871 
wuzh@pku.edu.cn 
吴鹏飞 北京大学 软件与微电子学院, 北京 100871
北京大学 软件工程国家工程中心, 北京 100871 
 
董春涛 北京大学 软件与微电子学院, 北京 100871
北京大学 软件工程国家工程中心, 北京 100871 
 
夏玉堂 北京大学 软件与微电子学院, 北京 100871
北京大学 软件工程国家工程中心, 北京 100871 
 
摘要点击次数: 123
全文下载次数: 68
中文摘要:
      随着云计算和移动计算的普及,浏览器应用呈现多样化和规模化的特点,浏览器的安全问题也日益突出.为了保证Web应用资源的安全性,浏览器同源策略被提出.目前,RFC6454、W3C与HTML5标准都对同源策略进行了描述与定义,诸如Chrome、Firefox、Safari与Edge等主流浏览器均将其作为基本的访问控制策略.然而,浏览器同源策略在实际应用中,面临着无法处理第三方脚本引入的安全威胁、无法限制同源不同frame的权限、与其他浏览器机制协作时还会为不同源的frame赋予过多权限等问题,并且无法保证跨域/跨源通信机制的安全性以及内存攻击下的同源策略安全.该文对浏览器同源策略安全研究进行综述,介绍了同源策略的规则,并概括了同源策略的威胁模型与研究方向,主要包括同源策略规则不足及应对、跨域与跨源通信机制安全威胁及应对、以及内存攻击下的同源策略安全,并且展望了同源策略安全研究的未来发展方向.
英文摘要:
      With the popularity of cloud computing and mobile computing, browser applications show the characteristics of diversification and scale, and the browser security issues are increasingly prominent. To ensure the security of Web application resources, the browser's same-origin policy is proposed. Since then, the introduction of the same origin policy in RFC6454, W3C and HTML5 standards has driven modern browsers (e.g., Chrome, Firefox, Safari and Edge) to implement the same origin policy as the basic access control policy. The same-origin policy, however, in practice, faces the problems including handling security threats introduced by the third-party scripts, limiting the permissions of same-origin frames, assigning more permissions for cross-origin frames when they collaborate with browser's other mechanisms. It also cannot guarantee the safety of cross-domain or cross-origin communication mechanisms and the security under memory attacks. This paper reviews the existing researches on browser's same origin policy security. This paper firstly describes the same-origin policy rules, followed by summarizing the threat model for researches on same-origin policy and the research directions, including insufficient same-origin policy rules and defenses, attacks and defenses on cross-domain and cross-origin mechanisms, and same-origin policy security under memory attacks. Finally, this paper prospects the future research direction of browser's same-origin policy security.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会 京ICP备05046678号-4
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利