Web应用增强安全模型

自从万维网出现以来Web应用发生了很大变化,从最初的简单静态文档发展到功能多样的动态程序。然而主流的Web防护模型仍然基于同源策略,这种安全模型在识别Web应用程序以及怎么管理它们都有很多缺陷,这导致Web程序成了最容易受到攻击的目标,尤其是其中的Web插件问题最为严重。根据Web程序特性,借鉴操作系统的安全构架原理提出一种名为Thor的浏览器安全模型,Thor主要使用系统调用干预来完成对安全策略的制定和执行,并且使得策略的执行不仅限于HTML和Javascript,而是进一步扩展到浏览器插件和浏览器扩展。最后实现一个Thor的原型系统,验证了其对浏览器的安全加强以及性能开销。