瀏覽器安全防御體系的設(shè)計與實現(xiàn).pdf

1、互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展給人們的生活帶來了極大的便利，然而頻繁發(fā)生的網(wǎng)絡(luò)安全事件給服務(wù)提供商、企業(yè)和個人用戶帶來極大的困擾。瀏覽器作為用戶和互聯(lián)網(wǎng)連接的入口在網(wǎng)絡(luò)生活中扮演著重要的角色，但也成為互聯(lián)網(wǎng)中最易被攻擊的目標(biāo)，所以加強WEB瀏覽器的安全性研究對于提升網(wǎng)絡(luò)安全水平具有重要意義。本文旨在為WEB瀏覽器提供一套可行的安全方案，來消減用戶信息竊取、網(wǎng)絡(luò)釣魚、病毒木馬等網(wǎng)絡(luò)威脅，為用戶提供可靠的瀏覽環(huán)境。本文所做主要工作如下：
　　首

2、先對現(xiàn)有瀏覽器基本安全機制和存在的安全威脅進行了深入的分析，著重分析了WEB前端的安全漏洞以及XSS、CSRF等常見的針對客戶端瀏覽器的攻擊方式。然后在此基礎(chǔ)上設(shè)計了瀏覽器安全防御構(gòu)架，該構(gòu)架主要包括了以下幾個模塊：安全加密模塊、安全瀏覽模塊、XSS過濾模塊、CSRF抵御模塊以及點擊劫持防御模塊等。其中安全加密模塊采用SM4對稱加密算法實現(xiàn)對瀏覽器隱私數(shù)據(jù)、本地文件的加解密，防止敏感信息的泄漏，全方位保障瀏覽器數(shù)據(jù)的安全；安全過濾模塊，

3、采用匹配算法以及黑白名單等機制有效過濾惡意鏈接及不安全的下載請求等；XSS過濾模塊，利用現(xiàn)有接口函數(shù)實現(xiàn)了對靜態(tài)和動態(tài)的惡意跨站腳本的攔截，攔截效率高，誤報率低；CSRF防御模塊通過在瀏覽器和服務(wù)器交互過程中添加認證，保證cookie數(shù)據(jù)使用的合法性；點擊劫持?jǐn)r截模塊通過X-Frame-Options的使用，防止WEB頁面被不同域的iframe嵌入。
　　最后，在Windows環(huán)境下，基于以上安全框架開發(fā)了一款安全的瀏覽器用以驗證