Web應(yīng)用前端安全策略研究及應(yīng)用.pdf

1、隨著W3C標準的完善以及瀏覽器環(huán)境環(huán)境的日益改進，Web應(yīng)用已經(jīng)逐漸成為了網(wǎng)站開發(fā)的主要方式。由于移動互聯(lián)網(wǎng)的熱潮的來臨，Web應(yīng)用也借由"混合"應(yīng)用(Hybrid Application)的開發(fā)模式進入了移動應(yīng)用開發(fā)的領(lǐng)域。如今的Web應(yīng)用已經(jīng)滲透到了到互聯(lián)網(wǎng)的各個角落。然而，Web應(yīng)用的安全問題一直是一個較少受到關(guān)注的領(lǐng)域，專門針對Web應(yīng)用安全問題的基礎(chǔ)庫的缺乏也使得開發(fā)者在開發(fā)過程中難以對安全隱患進行探測和防范。
　　本文

2、通過對現(xiàn)今Web應(yīng)用安全問題的研究現(xiàn)狀進行描述，針對幾個較為常見的安全問題進行詳細分析，并針對每個問題提出了全新解決方案。在第二章中詳細分析了JavaScript劫持的相關(guān)問題，提出了在開發(fā)階段和使用階段進行探測的防范措施；在第三章中詳細分析了XSS攻擊的相關(guān)問題，提出了使用Observer對靜態(tài)DOM進行監(jiān)視，對動態(tài)標簽創(chuàng)建方法進行重寫的防范措施；在第四章中詳細分析了用戶追蹤的相關(guān)問題，提出了EverCookie和Canvas指紋相結(jié)

3、合的防范措施。本文的創(chuàng)新點在于針對三個常見的Web應(yīng)用安全問題提出了全新的解決方案，和之前被動防守的思路不同，本文中提到的方法注重于主動出擊，將問題防患于未然。另外，并創(chuàng)新性的將三種問題的解決方案合并到一起形成了一個針對Web應(yīng)用安全的功能庫Ace.js，該功能庫已經(jīng)在Github上開源。
　　Web應(yīng)用是現(xiàn)在現(xiàn)代Web技術(shù)發(fā)展的熱點，也是面向未來的應(yīng)用開發(fā)方式。本文中提到的問題和方法，對當前Web應(yīng)用開發(fā)有重要的指導意義；根據(jù)本