Web应用前端安全策略研究及应用-计算数学专业论文.docxVIP

万方数据 万方数据 南开大学学位论文使用授权书 本人完全了解《南开大学关于研究生学位论文收藏和利用管理办法》关于南开大学 (简 称“学校”) 研究生学位论文收藏和利用的管理规定，同意向南开大学提交本人的学位论文 电子版及相应的纸质本，并委托印刷存档论文。 本人了解南开大学拥有在《中华人民共和国著作权法》规定范围内的学位论文使用权， 同意在以下几方面向学校授权。即： 1. 学校将学位论文编入《南开大学博硕士学位论文全文数据库》，并作为资料在学校图 书馆等场所提供阅览，在校园网上提供论文目录检索、文摘以及论文全文浏览、下载等信 息服务； 2. 学校可以采用影印、缩印或其他复制手段保存学位论文；学校根据规定向教育部指 定的收藏和存档单位提交学位论文； 3. 非公开学位论文在解密后的使用权同公开论文。 4. 同意学校将本人向有关电子出版单位授权的学位论文 (含电子版和授权书) 转交相关 授权单位。 本人承诺：本人的学位论文是在南开大学学习期间创作完成的作品，并已通过论文答 辩；提交的学位论文电子版与纸质本论文的内容一致，如因不同造成不良后果由本人自负。 本人签署本授权书一份，交图书馆留存。 学位论文作者暨授权人 (亲笔) 签字： 20 年 月 日 南开大学研究生学位论文作者信息 论 文 题 目 Web 应用前端安全策略研究及应用 姓 名 张浩然 学号 2120120031 答辩日期 论 文 类 别 博士 学历硕士 √ 硕士专业学位 同等学力硕士 划 √ 选择 学院 (单位) 数学科学学院 学科/专业 (专业学位) 名称 计算数学 联 系 电 话电子邮箱 HYPERLINK mailto:jabez128@163.com jabez128@163.com 通讯地址 (邮编)：天津市南开区卫津路 94 号南开大学数学科学学院（300071） 非公开论文编号 备注 注：本授权书适用我校授予的所有博士、硕士的学位论文。由作者填写一份并签字后交校图书馆，如已批准为非公开学 位论文，须附批准通过的《南开大学研究生申请非公开学位论文审批表》和“非公开学位论文标注说明”页。 万方数据 摘要 摘要 随着 W3C 标准的完善以及浏览器环境环境的日益改进，Web 应用已经逐渐 成为了网站开发的主要方式。由于移动互联网的热潮的来临，Web 应用也借由 混合 应用 (Hybrid Application) 的开发模式进入了移动应用开发的领域。如今的 Web 应用已经渗透到了到互联网的各个角落。然而，Web 应用的安全问题一直 是一个较少受到关注的领域，专门针对 Web 应用安全问题的基础库的缺乏也使 得开发者在开发过程中难以对安全隐患进行探测和防范。 本文通过对现今 Web 应用安全问题的研究现状进行描述，针对几个较为常 见的安全问题进行详细分析，并针对每个问题提出了全新解决方案。在第二章 中详细分析了 JavaScript 劫持的相关问题，提出了在开发阶段和使用阶段进行 探测的防范措施；在第三章中详细分析了 XSS 攻击的相关问题，提出了使用 Observer 对静态 DOM 进行监视，对动态标签创建方法进行重写的防范措施；在 第四章中详细分析了用户追踪的相关问题，提出了 EverCookie 和 Canvas 指纹相 结合的防范措施。本文的创新点在于针对三个常见的 Web 应用安全问题提出了 全新的解决方案，和之前被动防守的思路不同，本文中提到的方法注重于主动 出击，将问题防患于未然。另外，并创新性的将三种问题的解决方案合并到一 起形成了一个针对 Web 应用安全的功能库 Ace.js，该功能库已经在 Github 上开 源。 Web 应用是现在现代 Web 技术发展的热点，也是面向未来的应用开发方 式。本文中提到的问题和方法，对当前 Web 应用开发有重要的指导意义；根据 本文产生的 Ace.js 功能库，对当前 Web 应用开发有重要的使用价值。 关键词： Web 应用、Web 安全、JavaScript 劫持、XSS、用户追踪 I Abstract Abstract 万方数据 万方数据 Abstract With the improvement of W3C standards and increasingly improved environment of browser, Web applications have become the mode form of web development. Due to the advent of the mobile Internet boom, the hybrid applications (Hybrid Application) development brin