摘要： 提出了一種新的安全解決方案，主要采用frame片段標(biāo)識(shí)符技術(shù)在瀏覽器端實(shí)現(xiàn)跨域數(shù)據(jù)通信，在此基礎(chǔ)上主要關(guān)注3個(gè)安全因素：數(shù)據(jù)保密、身份驗(yàn)證和數(shù)據(jù)完整。該方案不需要對(duì)當(dāng)前的瀏覽器環(huán)境進(jìn)行任何修改就可實(shí)現(xiàn)異源內(nèi)容相互間安全的通信。

　　在Web2.0時(shí)代，一種新型的基于Web的數(shù)據(jù)集成應(yīng)用程序——Mashup，逐漸在Internet上變得越來(lái)越流行。在IBM、微軟等企業(yè)的推動(dòng)下，今后數(shù)年內(nèi)Mashup將成為主流應(yīng)用。即使商業(yè)用戶的IT技術(shù)水平并不高，同樣也可創(chuàng)建符合自身需求的Mashup，并將這些Mashup加以組合，IT產(chǎn)業(yè)的安全性也將隨之大幅提高。

　　Mashup作為Web2.0上一種代表性的應(yīng)用構(gòu)建方式,已經(jīng)得到了眾多的研究者和開發(fā)者的關(guān)注.目前,針對(duì)Mashup的研究主要集中在Mashup數(shù)據(jù)源的轉(zhuǎn)化和集成、系統(tǒng)的設(shè)計(jì)、支持工具和平臺(tái)、對(duì)軟件工程影響、Mashup的質(zhì)量屬性以及在特定領(lǐng)域的應(yīng)用6個(gè)方面.在這些研究成果的帶動(dòng)下,Mashup逐漸變得可用,但在達(dá)到"用戶作為開發(fā)者"這一終目標(biāo)之前,仍然有一些困難需要克服.

　　1 Mashup(聚合)的基本概念

　　互聯(lián)網(wǎng)上的Mashup應(yīng)用是指從兩處以上的不同地方獲取數(shù)據(jù)，整合到一起而形成的具有統(tǒng)一體驗(yàn)的互聯(lián)網(wǎng)應(yīng)用或者網(wǎng)站。目前互聯(lián)網(wǎng)中主要有地圖Mashup、視頻和圖像Mashup、搜索和購(gòu)物Mashup和新聞Mashup 4種類型。

　　Mashup有內(nèi)容和業(yè)務(wù)兩方面的不同側(cè)重點(diǎn)。從內(nèi)容角度，強(qiáng)調(diào)從內(nèi)容的層面分析數(shù)據(jù)流的整合、流動(dòng)以與終用戶的交互，通過將不同數(shù)據(jù)源的內(nèi)容進(jìn)行整合獲得新的業(yè)務(wù)體驗(yàn)。整體偏重于整合各個(gè)數(shù)據(jù)源的內(nèi)容本身。從業(yè)務(wù)角度，強(qiáng)調(diào)從業(yè)務(wù)的層面分析各個(gè)業(yè)務(wù)的整合、集成、控制以及參數(shù)傳遞，并給終用戶提供新的業(yè)務(wù)體驗(yàn)，偏重于關(guān)注各個(gè)業(yè)務(wù)的處理功能而非其內(nèi)容數(shù)據(jù)。

　　Mashup應(yīng)用通常主要有兩種框架結(jié)構(gòu)：服務(wù)器端框架和客戶端框架，如圖1所示。

　　服務(wù)器端框架是一種傳統(tǒng)的聚合方式，首先在服務(wù)器端集成異源的內(nèi)容和服務(wù)，然后將集成后的頁(yè)面返回到瀏覽器。圖1所示為框架中的集成者(i.com)實(shí)際上起到代理的作用，因此，存在一些弊端：

　　(1)對(duì)第三方資源的請(qǐng)求/響應(yīng)都需經(jīng)過i.com，降低了性能；

　　(2)大量用戶可能導(dǎo)致過度的服務(wù)器負(fù)載，i.com易成為瓶頸點(diǎn)，可擴(kuò)展性差；

　　(3)i.com易成為黑客的攻擊點(diǎn)。

　　近年來(lái)，隨著Ajax技術(shù)及相關(guān)技術(shù)的發(fā)展，Mashup應(yīng)用出現(xiàn)了客戶端框架，即在瀏覽器端集成異源的內(nèi)容和服務(wù)，例如www.housingmaps.com就采用此種框架。同時(shí)，內(nèi)容提供者(即第三方)也更愿意提供客戶端的服務(wù)，如Google公司提供的Maps API就是一種非常流行的用于客戶端的組件，集成者可以方便地將該組件集成到自己的Mashup應(yīng)用中。由圖1可知，集成者(i.com)將來(lái)自異源的內(nèi)容和服務(wù)集成到一個(gè)網(wǎng)頁(yè)中，集成者和組件、組件與組件之間可以在瀏覽器端進(jìn)行通信，組件(如a.com)可以使用Ajax技術(shù)異步訪問服務(wù)器來(lái)實(shí)現(xiàn)網(wǎng)頁(yè)局部刷新的效果，給用戶帶來(lái)更好的使用體驗(yàn)。基于此，本文主要研究了客戶端框架下的安全應(yīng)用問題。

　　2 瀏覽器的安全模型及Mashup的應(yīng)用安全

　　2.1 同源策略與“全有或全無(wú)”模型

　　同源策略，它是由Netscape提出的一個(gè)的安全策略。現(xiàn)在所有支持JavaScript 的瀏覽器都會(huì)使用這個(gè)策略。所謂同源是指，域名，協(xié)議，端口相同。當(dāng)一個(gè)瀏覽器的兩個(gè)tab頁(yè)中分別打開來(lái)百度和谷歌的頁(yè)面，當(dāng)一個(gè)百度瀏覽器執(zhí)行一個(gè)腳本的時(shí)候會(huì)檢查這個(gè)腳本是屬于哪個(gè)頁(yè)面的，即檢查是否同源，只有和百度同源的腳本才會(huì)被執(zhí)行。該機(jī)制將異源的Web應(yīng)用程序分離開，即如果多個(gè)瀏覽器窗口、<frame>或<iframe>元素(下文統(tǒng)一用<frame>表示)中的文檔是從不同的服務(wù)器的，則它們無(wú)法相互訪問數(shù)據(jù)和腳本，瀏覽器的腳本只被允許訪問來(lái)自同源的資源(如DOM和Cookie等資源)，并能創(chuàng)建XMLHttpRequest對(duì)象異步訪問文檔來(lái)源所指服務(wù)器的資源。例如，<frame>A(來(lái)自https://a.com)不能訪問<frame>B(來(lái)自https://b.com)中的任何DOM元素，反之亦然。來(lái)自a.com的腳本也只能創(chuàng)建XMLHttpRequest對(duì)象異步訪問a.com，而不能異步訪問b.com。

　　但上文所提的同源策略有一個(gè)例外，文檔中包含的腳本資源文件和圖像文件被視為文檔的組成部分，因此認(rèn)為與文檔是同源的，即使它們實(shí)際上存在于不同的網(wǎng)域中。例如，a.com/service.html中包含<script src=“https://b.com/lib.js”>，雖然lib.js來(lái)自b.com，但被認(rèn)為是a.com/service.html的組成部分，即lib.js與service.html是同源的，都來(lái)自a.com，因此lib.js(雖然來(lái)自b.com)中的腳本也就能夠訪問a.com/service.html的DOM等資源，并能創(chuàng)建XMLHttpRequest對(duì)象異步訪問a.com。

　　同源策略比較適用于Internet發(fā)展的早期。由于這時(shí)很少網(wǎng)站將重要的應(yīng)用邏輯放在瀏覽器端，即使有，這些網(wǎng)站也只限于自己的服務(wù)器而不同第三方打交道，因此，同源策略能有效避免惡意的攻擊。但I(xiàn)nternet發(fā)展到今天，情況已有了很大的不同。許多集成者更愿意集成多個(gè)來(lái)源的內(nèi)容到他們的站點(diǎn)中，為用戶提供定制化和更有附加值的服務(wù)。由前面的分析可知，Mashup的本質(zhì)就是要集成多個(gè)來(lái)源的內(nèi)容和服務(wù)，而同源策略卻是不允許使用來(lái)自不同源的內(nèi)容。這導(dǎo)致在開發(fā)Mashup應(yīng)用時(shí)只能采用“全有或全無(wú)”模型，即站點(diǎn)a.com或者完全不信任來(lái)自站點(diǎn)b.com的內(nèi)容，在集成時(shí)將來(lái)自b.com的內(nèi)容隔離在<frame>元素中；或者完全信任來(lái)自站點(diǎn)b.com的腳本，在集成時(shí)將來(lái)自站點(diǎn)b.com的腳本放到<script>標(biāo)記中，而這些腳本能完全訪問來(lái)自a.com的資源。因此，需要實(shí)現(xiàn)一種方法使得瀏覽器能夠支持合法的跨域數(shù)據(jù)訪問，但是無(wú)需犧牲終端用戶的安全和對(duì)自身數(shù)據(jù)的控制。

　　2.2 Mashup應(yīng)用安全

　　Mashup擁有兩個(gè)本質(zhì)的特性：互通信能力和安全性。互通信能力是指集成者與組件或組件間相互通信的能力。在簡(jiǎn)單的Mashup中，可能不需要這種互通信能力，此時(shí)可將組件包含在<frame>中，利用同源策略來(lái)隔離異源的資源以達(dá)到保護(hù)的目的。但在越來(lái)越趨于復(fù)雜的Mashup應(yīng)用中，集成者與組件間確實(shí)需要相互通信的能力。安全性要求來(lái)自某源的組件不能存取來(lái)自另一源的組件的保密信息，如DOM、cookies等信息。根據(jù)同源策略及“全有或全無(wú)”模型，當(dāng)不同來(lái)源的組件集成到集成者的同一網(wǎng)頁(yè)時(shí)，相互之間不能通信，除非采取一些技術(shù)手段來(lái)繞過同源策略的限制。結(jié)果通常造成開發(fā)人員被迫必須在安全性和功能之間進(jìn)行權(quán)衡，導(dǎo)致為了滿足功能而犧牲應(yīng)用的安全性。為此，已經(jīng)存在的Mashup應(yīng)用采用了許多繞開同源策略的措施：

　　(1)Ajax代理，Mashup服務(wù)器端框架經(jīng)常使用的一種方法[4]。例如，由于同源策略的限制，a.com/service.html中的代碼是不能訪問位于b.com中的某一Web服務(wù)ServiceB的，但可以在a.com中建立新的Web服務(wù)ServiceProxy，則a.com/service.html可通過Ajax訪問a.com/ServiceProxy，而ServiceProxy的功能就是將請(qǐng)求轉(zhuǎn)發(fā)給b.com/ServiceB，由ServiceB產(chǎn)生的響應(yīng)結(jié)果再按原路徑返回給a.com/service.html。

　　(2)<frame>片段標(biāo)識(shí)符技術(shù)，Mashup客戶端框架經(jīng)常使用的方法。通過frame.src屬性的片段標(biāo)識(shí)符(URL中#符號(hào)后的部分)，使用了頁(yè)面腳本和隱藏的<frame>標(biāo)記之間進(jìn)行通信以繞過同源策略的限制。

　　當(dāng)前開發(fā)Mashup時(shí)，集成者通常將第三方提供的組件封裝到<frame>標(biāo)記中，利用同源策略所提供的安全機(jī)制，以實(shí)現(xiàn)安全的目的。但集成者與組件間通常更需要協(xié)作，筆者認(rèn)為在瀏覽器端利用<frame>片段標(biāo)識(shí)符技術(shù)進(jìn)行通信時(shí)應(yīng)當(dāng)滿足以下3個(gè)主要的安全因素：

　　(1)數(shù)據(jù)保密。在Mashup應(yīng)用中，經(jīng)常有這樣的場(chǎng)景：如用戶可能在某一網(wǎng)頁(yè)中輸入內(nèi)容，并希望此內(nèi)容將只提供給特定的組件，而不被其他第三方截獲。或者，集成者、組件提供者和用戶可能共享一個(gè)秘密信息，而不希望此信息被無(wú)關(guān)的第三方截獲。因此，在瀏覽器端實(shí)現(xiàn)消息傳遞機(jī)制時(shí)，應(yīng)能保證消息只能被相關(guān)的參與方獲取，而其他無(wú)關(guān)的第三方不能截獲到此消息。

　　(2)身份驗(yàn)證。參與通信的雙方能夠相互進(jìn)行身份驗(yàn)證是瀏覽器端消息傳遞機(jī)制另一個(gè)很重要的安全要求。在Mashup應(yīng)用中進(jìn)行身份驗(yàn)證主要是指通信雙方能驗(yàn)證彼此的域名。

　　(3)數(shù)據(jù)完整。數(shù)據(jù)完整是指集成者和組件提供者提供給用戶的內(nèi)容是沒有被攻擊者篡改過的，也即意味著被攻擊者篡改過的消息能被檢測(cè)出來(lái)。

　　3 <frame>片段標(biāo)識(shí)符安全通信技術(shù)

　　3.1 基于<frame>片段標(biāo)識(shí)符的跨域數(shù)據(jù)訪問

　　<frame>標(biāo)記能夠在一個(gè)HTML文件中封裝和顯示另一個(gè)完整的HTML文件。通常稱<frame>所在的網(wǎng)頁(yè)為父頁(yè)面，而<frame>所包含的網(wǎng)頁(yè)(通過向frame.src屬性指定一個(gè)URL來(lái)確定)稱為子頁(yè)面。

　　目前開發(fā)Mashup應(yīng)用時(shí)，集成者通常將組件封裝到<frame>標(biāo)記中。當(dāng)<frame>的源URL與其父頁(yè)面同源時(shí)，根據(jù)同源策略，父頁(yè)面中的可通過<frame>的DOM訪問它的所有內(nèi)容。同樣，<frame>也可以通過其父頁(yè)面的DOM訪問父頁(yè)面的所有內(nèi)容。然而，當(dāng)異源時(shí)，父頁(yè)面不能訪問<frame>的內(nèi)容，<frame>也無(wú)法訪問父頁(yè)面的內(nèi)容。此時(shí)，可利用frame.src屬性的片段標(biāo)識(shí)符(如https://a.com/proxy.html#data_here，#符號(hào)后的data_here就是要傳遞的數(shù)據(jù))來(lái)實(shí)現(xiàn)跨域數(shù)據(jù)訪問。<frame>的外部代碼(如主頁(yè)面中的代碼)不能讀取frame.src，但可以重寫frame.src，此即frame.src屬性的只寫特性。這樣，<frame>的外部代碼就可以根據(jù)已知文檔的URL，構(gòu)造“URL+#+要傳遞的數(shù)據(jù)”字符串，指定給frame.src屬性，并將觸發(fā)子頁(yè)面的onLoad事件，于是在子頁(yè)面的onLoad事件處理程序中可接受父頁(yè)面?zhèn)鬟^來(lái)的數(shù)據(jù)并決定下一步的操作。如圖2所示，集成者i.com/main.html由于同源策略的限制，在瀏覽器端不能訪問a.com的資源。因此，可通過以下步驟實(shí)現(xiàn)i.com/main.html將數(shù)據(jù)data_here傳送給a.com。

　　(1)i.com/main.html(即父頁(yè)面，包含frame1元素)設(shè)置frame1.src=“https://a.com/proxy.html#data_here”。

　　(2)frame1頁(yè)面a.com/proxy.html。通過frame.src來(lái)傳遞數(shù)據(jù)可以使用#將數(shù)據(jù)加到frame的URL結(jié)尾來(lái)實(shí)現(xiàn)。

　　(3)子頁(yè)面(a.com/proxy.html)的onLoad事件被激活。此時(shí)，可通過window.location.hash取出i.com/main.html傳遞過來(lái)的數(shù)據(jù)data_here。

　　(4)由于frame1和組件a.com同源，故能相互訪問彼此的資源，即組件a.com也就能訪問i.com/main.html傳過來(lái)的數(shù)據(jù)data_here。

　　當(dāng)組件a.com處理完數(shù)據(jù)data_here后，需要將數(shù)據(jù)data_toI傳遞給父頁(yè)面i.com/main.html，也可以通過frame1來(lái)傳遞嗎？答案是否定的，frame1不能給它的父頁(yè)面?zhèn)鬟f任何消息，因?yàn)樗鼈兾挥诓煌脑础５莊rame1(a.com)可以包含另一個(gè)frame2，圖2中，frame1通過設(shè)置frame2.src為父頁(yè)面的URL(即i.com)。這時(shí)，i.com/main.html包括frame1(域?yàn)閍.com)，而frame1又包含frame2(域?yàn)閕.com)。同時(shí)，可以發(fā)現(xiàn)frame2.parent.parent正是i.com/main.html，且frame2和main.html同源，因此在frame2中可以通過frame2.parent.parent訪問main.html的任何內(nèi)容，調(diào)用main.html中的函數(shù)。實(shí)現(xiàn)步驟如下：

　　(1)組件a.com通過在frame1(a.com/proxy.html)中設(shè)置frame2.src=“https://i.com/proxy.html#data_toI”；

　　(2)frame2頁(yè)面i.com/proxy.html。之后子頁(yè)面的onLoad事件被激活，在onLoad事件中可通過window.location.hash取得組件a.com傳過來(lái)的數(shù)據(jù)data_toI。

　　(3)由于frame2(i.com/proxy.html)和i.com/main.html同源，故在frame2中可調(diào)用main.html的receiveFromA函數(shù)將數(shù)據(jù)data_toI傳遞給main.html。

　　但上述使用<frame>片段標(biāo)識(shí)符的跨域數(shù)據(jù)訪問存在一個(gè)安全問題：不確定數(shù)據(jù)的來(lái)源。當(dāng)main.html通過frame1.src向組件a.com傳送數(shù)據(jù)data_here時(shí)，由于同源策略的安全機(jī)制，雖然可以保證數(shù)據(jù)能被組件a.com獲得。但是，當(dāng)組件a.com得到數(shù)據(jù)data_here時(shí)，沒有直接的方法得知數(shù)據(jù)的來(lái)源。而在大多數(shù)情況下，不確定來(lái)源的數(shù)據(jù)是不安全的。因此，必須要有能實(shí)現(xiàn)對(duì)通信雙方的身份進(jìn)行驗(yàn)證的方法克服此安全漏洞。受TCP三次握手的啟發(fā)，本文提出一種利用共享密鑰技術(shù)在瀏覽器端實(shí)現(xiàn)跨域通信雙方身份驗(yàn)證的方法，如圖3所示。父頁(yè)面i.com/main.html首先產(chǎn)生密鑰SK1，并使用<frame>片段標(biāo)識(shí)符技術(shù)將SK1傳遞給子頁(yè)面frame1(a.com/proxy.html)。接收方frame1可通過將密鑰SK1作為數(shù)據(jù)包的一部分傳回main.html以證明接收方frame1確實(shí)來(lái)源為a.com。但是frame1還需要證明發(fā)送方是來(lái)自于i.com，因此，frame1又產(chǎn)生一個(gè)新的密鑰SK2，并將SK1和SK2一起傳送給main.html，若main.html能將SK2作為密鑰再傳給frame1就能證明發(fā)送方main.html確實(shí)來(lái)自i.com。至此，main.html和frame1都擁有了密鑰SK2，故可將SK2作為共享密鑰，并使用它來(lái)完成接下來(lái)的通信。圖3所示main.html將“SK2＋要傳的數(shù)據(jù)”作為數(shù)據(jù)包傳給frame1，frame1將先驗(yàn)證密鑰是否等于SK2，如果是，則接受傳過來(lái)的數(shù)據(jù)。因此，對(duì)于惡意的攻擊可以很容易被識(shí)別和去除。

　　3.2 安全分析

　　從數(shù)據(jù)保密、身份驗(yàn)證和數(shù)據(jù)完整3個(gè)方面來(lái)分析上述基于<frame>片段標(biāo)識(shí)符的跨域數(shù)據(jù)訪問方案的安全性。

　　(1)數(shù)據(jù)保密。利用瀏覽器提供的同源策略限制和frame.src的只寫特性來(lái)實(shí)現(xiàn)數(shù)據(jù)保密性。在父頁(yè)面和<frame>之間傳送的數(shù)據(jù)不會(huì)被父頁(yè)面上其他的DOM元素看到，因?yàn)?lt;frame>與父頁(yè)面處在不同的源。而且數(shù)據(jù)不出現(xiàn)在瀏覽器緩存中，數(shù)據(jù)也不會(huì)跨過網(wǎng)絡(luò)，因此可以認(rèn)為數(shù)據(jù)包只能被接收的<frame>或來(lái)自a.com的其它頁(yè)面觀察到。

　　(2)身份驗(yàn)證。圖3中利用共享密鑰的技術(shù)能保證瀏覽器客戶端跨域通信雙方身份的驗(yàn)證。frame1只有當(dāng)其將父頁(yè)面?zhèn)鬟^來(lái)的密鑰SK1再傳回父頁(yè)面時(shí)，才能讓它的身份得到驗(yàn)證；類似的，父頁(yè)面也只有將密鑰SK2傳回frame1時(shí)，才能驗(yàn)證它的身份。之后，通過利用父頁(yè)面和frame1的共享密鑰SK2來(lái)保證雙方通信的機(jī)密性。

　　(3)數(shù)據(jù)完整。攻擊者篡改過的數(shù)據(jù)能被檢測(cè)出來(lái)。要篡改通信的數(shù)據(jù)，攻擊者需要知道共享密鑰SK2，否則在目的地，傳過來(lái)的數(shù)據(jù)包將被拒絕并被丟棄。因此，沒有經(jīng)過身份驗(yàn)證的組件是不能篡改數(shù)據(jù)的。

　　當(dāng)前所有瀏覽器端所實(shí)現(xiàn)的安全模型是同源策略，其導(dǎo)致了異源內(nèi)容間只能是“完全信任”或“完全不信任”的結(jié)果。隨之帶來(lái)的問題是：Mashup不能在實(shí)現(xiàn)功能性需求的同時(shí)也能很好地解決安全問題。因此，需要瀏覽器實(shí)現(xiàn)一種新的安全模型，使得瀏覽器能夠支持合法的跨域數(shù)據(jù)訪問，而無(wú)需犧牲終端用戶的安全。但是，主流瀏覽器要實(shí)現(xiàn)新的安全模型并在業(yè)內(nèi)普遍使用需要幾年的時(shí)間，同時(shí)一些研究者提出的解決方案中或者要求改進(jìn)當(dāng)前的瀏覽器環(huán)境；或者不能提供一個(gè)靈活和安全的點(diǎn)到點(diǎn)的域間通信機(jī)制[5-6]。本文提出了一種新的域間通信機(jī)制，它不需要對(duì)當(dāng)前的瀏覽器環(huán)境進(jìn)行任何修改就可適用，并且主要考慮了3個(gè)安全因素：數(shù)據(jù)保密、身份驗(yàn)證和數(shù)據(jù)完整。在不遠(yuǎn)的將來(lái)，通過不斷改善瀏覽器技術(shù)，及增加新的Web標(biāo)準(zhǔn)使Mashup更加安全，Mashup方式也將會(huì)得到更廣泛的應(yīng)用。