一种基于HTML5的安全跨文档消息传递方案

doi:10.7523/j.issn.1002-1175.2013.01.019

中国科学院大学学报 ›› 2013, Vol. 30 ›› Issue (1): 124-130.DOI: 10.7523/j.issn.1002-1175.2013.01.019

一种基于HTML5的安全跨文档消息传递方案

李潇宇, 张玉清, 刘奇旭, 郑晨

中国科学院研究生院国家计算机网络入侵防范中心, 北京 100049

收稿日期:2011-12-09 修回日期:2012-03-22 发布日期:2013-01-15
通讯作者: 张玉清
基金资助:
国家自然科学基金(60970140)资助

Secure cross-document messaging scheme based on HTML5

LI Xiao-Yu, ZHANG Yu-Qing, LIU Qi-Xu, ZHENG Chen

National Computer Network Instrusion Protection Center, Graduate University, Chinese Academy of Sciences, Beijing 100049, China

Received:2011-12-09 Revised:2012-03-22 Published:2013-01-15

摘要/Abstract

摘要：

全面分析现有基于HTML5的跨文档消息机制的安全性,指出其中存在的安全风险,并在此基础上设计和实现了跨文档消息传递方案SafePM.SafePM引入消息安全规则白名单,通过双向检测机制实现对消息收发的完全控制,通过消息内容安全控制机制消除内容中的安全隐患.同时加入自动安全检测以及安全规则隐藏等机制,从而防止消息泄露和篡改,减少跨站脚本执行的风险,实现安全的跨文档消息传递.

关键词: HTML5, 跨文档消息机制, 安全规则白名单, 双向检测, SafePM

Abstract:

We analyze security risk of the current cross-document messaging methods based on HTML5 and propose a secure cross-document messaging scheme SafePM. In SafePM, white list, two-way detection, and auto-detecting are developed to limit maliciously messaging. Moreover, with the detection of the message content, SafePM eliminates information leakage and tampering and reduce the risk for executing of cross-site scripts, which makes cross-document messaging more secure.

Key words: HTML5, cross-document messaging, white list, two-way detection, SafePM

中图分类号:

TP393

李潇宇, 张玉清, 刘奇旭, 郑晨. 一种基于HTML5的安全跨文档消息传递方案[J]. 中国科学院大学学报, 2013, 30(1): 124-130.

LI Xiao-Yu, ZHANG Yu-Qing, LIU Qi-Xu, ZHENG Chen. Secure cross-document messaging scheme based on HTML5[J]. , 2013, 30(1): 124-130.

参考文献

[1] Barth A, Jackson C, Mitchell J C. Securing frame communication in browsers[C]//Proceedings of the 17th USENIX Security Symposium. San Jose, CA, USA,2008:17-30.

[2] The World Wide Web Consortium (W3C).W3C editor's draft[EB/OL]. (2011-11-20)[2011-11-25]. http://dev.w3.org/html5 /postmsg/#dom-messageevent-source.

[3] Alman B. jQuery postMessage: Cross-domain scripting goodness[EB/OL]. (2009-08-23)[2011-11-20]. http://benalman. com/projects/jquery-postmessage-plugin/.

[4] Kinsey Φ S. Easy cross-site scripting using the easyXDM library[EB/OL].(2009-08-17)[2011-11-25]. http://www.codeproject.com/Articles/37622/Easy-Cross-site-Scripting-using-the-easyXDM-Library.

[5] Matono A, Nakamura A, Kojima I. A mashup tool for cross-domain Web applications using HTML5[J]. Lecture Notes in Computer Science, 2011, 6612:382-385.

[6] Ryck P D, Desmet L, Philippaerts P, et al. A security analysis of next generation Web standards[R/OL].Greece: European Network and Information Security Agency (ENISA), (2011-07-31)[2011-11-25]. http://www.enisa.europa.eu/activities/application-security/web-security/.

[7] Hickson I. HTML living standard . USA:The Web Hypertext Application Technology Working Group, (2009-10-23)[2011-11-25]http://www.whatwg.org/specs/web-apps/current-work/multipage/web-messaging.html#crossDocumentMess ages.

[8] Hanna S, Shin E C R, Akhawe D, et al. The emperor’s new APIs: on the (in)secure usage of new client-side primitives[C]//Proceedings of the 4th Web 2.0 Security and Privacy. Oakland, California, USA, 2010.

[9] Saxena P, Hanna S, Poosankam P, et al. FLAX:systematic discovery of client-side validation vulnerabilities in rich Web applications[C]//Proceedings of the 17th Annual Network & Distributed System Security Symposium. San Diego, Califonia, USA, 2010.

[10] Edwards D. Packer version 3.0[CP/OL]. (2007-04-01)[2011-11-20]. http://dean.edwards.name/weblog/2007/04/packer3/.

[11] Heiderich M. HTML5 security cheatsheet[EB/OL].(2011-01-22)[2011-11-20].http://html5sec.org/.

[1]	戴志明, 周明拓, 杨旸, 李剑, 刘军. 智能工厂中的雾计算资源调度[J]. 中国科学院大学学报, 2021, 38(5): 702-711.
[2]	刘婷, 罗喜良. 移动边缘计算中的在线任务卸载方法[J]. 中国科学院大学学报, 0, (): 21542-21542.
[3]	朱兆伟, 刘婷, 钱骅, 罗喜良. 非稳态雾赋能网络中的在线任务卸载方法[J]. 中国科学院大学学报, 2020, 37(5): 699-707.
[4]	赖训飞, 梁旭文, 谢卓辰, 李宗旺. 基于实体嵌入和长短时记忆网络的入侵检测方法[J]. 中国科学院大学学报, 2020, 37(4): 553-561.
[5]	赵择, 徐佑宇, 唐亮, 卜智勇. 基于改进一对一算法的网络流量分类[J]. 中国科学院大学学报, 2020, 37(4): 570-576.
[6]	薛开平, 柳彬, 李威, 洪佩琳. 一种面向未知链路帧的格式特征提取与分类算法[J]. 中国科学院大学学报, 2018, 35(4): 521-528.
[7]	田洁, 王伟强, 孙翼. 一种免除二值化的视频叠加中文字符识别方法[J]. 中国科学院大学学报, 2018, 35(3): 402-408.
[8]	叶延玲, 傅晓彤, 张玉清, 乐洪舟. 一种自动化的Android应用定向行为测试方法[J]. 中国科学院大学学报, 2018, 35(3): 409-416.
[9]	严志涛, 方滨兴, 刘奇旭, 崔翔. 一种基于无线路由器的IoT设备轻量级防御框架[J]. 中国科学院大学学报, 2017, 34(6): 759-770.
[10]	王开泳, 邓羽. 基于微博数据的中原城市群空间联系强度测度[J]. 中国科学院大学学报, 2016, 33(6): 775-782.
[11]	闫淑筠, 王文杰, 张玉清. 一种有效的Web指纹识别方法[J]. 中国科学院大学学报, 2016, 33(5): 679-685.
[12]	侯金钟, 张立波, 罗铁坚. 一种均衡视频资源的分布存储方法[J]. 中国科学院大学学报, 2016, 33(5): 686-692.
[13]	曹来成, 赵建军, 崔翔, 李可. 基于余弦测度下K-means的网络空间终端设备识别[J]. 中国科学院大学学报, 2016, 33(4): 562-569.
[14]	吴敬征, 武延军, 武志飞, 杨牧天, 罗天悦, 王永吉. 基于有向信息流的Android隐私泄露类恶意应用检测方法[J]. 中国科学院大学学报, 2015, 32(6): 807-815.
[15]	董颖, 张玉清, 乐洪舟. Joomla内容管理系统漏洞利用技术[J]. 中国科学院大学学报, 2015, 32(6): 825-835.

一种基于HTML5的安全跨文档消息传递方案

Secure cross-document messaging scheme based on HTML5

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

访问统计

联系我们