看门人

GATEKEEPER:主要是javascript代码的安全性和可靠性策略的静态实施。web2.0的出现导致了通常用JavaScript编写的客户端代码的激增。这些代码通常与来自不同的、相互不信任的方的其他代码和内容组合在一起(或混搭在一起),从而导致不良的安全性和可靠性后果。本文提出了gateekeeper,它是一种基本静态的JavaScript程序安全性和可靠性策略。GATEKEEPER是一个高度可扩展的系统,它具有丰富、表达力强的策略语言,允许宿主站点管理员将其策略制定为简洁的数据日志查询。本文探讨的GATEKEEPER的主要应用是对JavaScript小部件进行推理,比如由widget portals Live.com和Google/IG托管的小部件。提交给这些站点的widget可能是恶意的,也可能只是有缺陷和写得不好,托管站点有权拒绝提交不符合站点安全策略的widget。为了说明我们方法的实用性,我们描述了九种具有代表性的安全和可靠性策略。静态检查这些策略会导致684个小部件中有1341个已验证警告,由于我们的分析是正确的,没有假阴性,而假阳性只影响两个小部件。

此软件的关键字

这里的任何内容都将在支持canvas元素的浏览器上被替换