浏览器同源策略安全研究综述
作者:
作者单位:

作者简介:

罗武(1994-),男,博士,主要研究领域为操作系统与虚拟化安全,云计算,可信计算,浏览器安全.
吴鹏飞(1994-),男,博士,主要研究领域为分布式系统安全,隐私保护,大数据安全.
沈晴霓(1970-),女,博士,教授,博士生导师,CCF高级会员,主要研究领域为操作系统与虚拟化安全,云计算和大数据安全与隐私,可信计算.
董春涛(1991-),男,博士生,主要研究领域为分布式系统安全,云计算和大数据安全,可信计算.
吴中海(1968-),男,博士,教授,博士生导师,CCF杰出会员,主要研究领域为大数据系统与分析,云计算和大数据安全,嵌入式系统.
夏玉堂(1989-),男,博士生,主要研究领域为云计算和大数据安全,可信计算.

通讯作者:

吴中海,E-mail:wuzh@pku.edu.cn;沈晴霓,E-mail:qingnishen@ss.pku.edu.cn

基金项目:

国家自然科学基金(61672062,61232005)


State-of-the-art Survey of Research on Browser's Same-Origin Policy Security
Author:
Affiliation:

Fund Project:

National Natural Science Foundation of China (61672062, 61232005)

  • 摘要
  • |
  • 图/表
  • |
  • 访问统计
  • |
  • 参考文献
  • |
  • 相似文献
  • |
  • 引证文献
  • |
  • 资源附件
    摘要:

    随着云计算和移动计算的普及,浏览器应用呈现多样化和规模化的特点,浏览器的安全问题也日益突出.为了保证Web应用资源的安全性,浏览器同源策略被提出.目前,RFC6454、W3C和HTML5标准都对同源策略进行了描述与定义,诸如Chrome、Firefox、Safari、Edge等主流浏览器均将其作为基本的访问控制策略.然而,浏览器同源策略在实际应用中面临着无法处理第三方脚本引入的安全威胁、无法限制同源不同frame的权限、与其他浏览器机制协作时还会为不同源的frame赋予过多权限等问题,并且无法保证跨域/跨源通信机制的安全性以及内存攻击下的同源策略安全.对浏览器同源策略安全研究进行综述,介绍了同源策略的规则,并概括了同源策略的威胁模型与研究方向,主要包括同源策略规则不足及应对、跨域与跨源通信机制安全威胁及应对以及内存攻击下的同源策略安全,并且展望了同源策略安全研究的未来发展方向.

    Abstract:

    With the popularity of cloud computing and mobile computing, browser applications show the characteristics of diversification and scale, and the browser security issues are increasingly prominent. To ensure the security of Web application resources, the browser's same-origin policy is proposed. Since then, the introduction of the same-origin policy in RFC6454, W3C and HTML5 standards has driven modern browsers (e.g., Chrome, Firefox, Safari, and Edge) to implement the same-origin policy as the basic access control policy. The same-origin policy, however, in practice, faces the problems including handling security threats introduced by the third-party scripts, limiting the permissions of same-origin frames, assigning more permissions for cross-origin frames when they collaborate with browser's other mechanisms. It also cannot guarantee the safety of cross-domain or cross-origin communication mechanisms and the security under memory attacks. This paper reviews the existing researches on browser's same-origin policy security. Firstly, this paper describes the same-origin policy rules, followed by summarizing the threat model for researches on same-origin policy and the research directions, including insufficient same-origin policy rules and defenses, attacks and defenses on cross-domain and cross-origin mechanisms, and same-origin policy security under memory attacks. Finally, this paper prospects the future research direction of browser's same-origin policy security.

    参考文献
    相似文献
    引证文献
引用本文

罗武,沈晴霓,吴中海,吴鹏飞,董春涛,夏玉堂.浏览器同源策略安全研究综述.软件学报,2021,32(8):2469-2504

复制
分享
文章指标
  • 点击次数:
  • 下载次数:
历史
  • 收稿日期:2020-04-26
  • 最后修改日期:2020-08-13
  • 录用日期:
  • 在线发布日期: 2020-10-12
您是第位访问者
版权所有:中国科学院软件研究所 京ICP备05046678号-3
地址:北京市海淀区中关村南四街4号,邮政编码:100190
电话:010-62562563 传真:010-62562533 Email:jos@iscas.ac.cn
技术支持:北京勤云科技发展有限公司

京公网安备 11040202500063号