基于HTML5應(yīng)用的Safari瀏覽器安全支付插件開發(fā).pdf

1、自從HTML5技術(shù)標(biāo)準(zhǔn)制定后，HTML5新技術(shù)不斷給開發(fā)者帶來新的富媒體功能，如本地存儲技術(shù)等。隨著第三方支付越來越盛行，基于HTML5的移動(dòng)支付開發(fā)無疑會(huì)逐漸成為支付開發(fā)的主流。HTML5技術(shù)不僅給第三方支付應(yīng)用開發(fā)帶來了方便，也帶來了HTML5自身的安全隱患。Safari作為全球排名靠前的瀏覽器，支持很多基于HTML5的第三方支付應(yīng)用，因此迫切需要給出能夠防御此類安全威脅的解決方案。目前國內(nèi)外對于這方面的安全研究大部分停留在建議階段

2、，沒有統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，Safari瀏覽器關(guān)于HTML5的安全防御方案還未成型。針對這種現(xiàn)狀，本文在現(xiàn)有研究的基礎(chǔ)上給出基于HTML5應(yīng)用的Safari瀏覽器安全支付插件設(shè)計(jì)方案。
　　本文首先分析了國內(nèi)外HTML5安全問題研究現(xiàn)狀，然后對HTML5常見的安全問題進(jìn)行分類，給出攻擊實(shí)例，并針對具體的攻擊方式總結(jié)傳統(tǒng)的防御方法。重點(diǎn)分析XSS以及本地存儲存在的安全隱患的原因，從客戶端角度考慮，給出 Safari擴(kuò)展方案來防御基于HTM

3、L5開發(fā)出應(yīng)用的安全問題。
　　具體方案如下：1.對URL和Input框進(jìn)行黑名單檢測，防御HTML5新特性新標(biāo)簽帶來的反射型XSS和DOM型XSS;2.針對本地存儲常用明文存儲的不安全性，給出基于Base64編碼的改進(jìn)算法來進(jìn)行本地?cái)?shù)據(jù)的編碼加密，起到防止惡意代碼滋生與本地?cái)?shù)據(jù)加密的功能;3.最后對于一些新功能帶來的安全威脅，本文給出基本的防御方案和建議,如離線緩存可能帶來的安全問題，給出基于密碼學(xué)DSS簽名算法的簡單簽名方案，