本申请涉及一种面向网页第三方注入内容的来源追踪方法、装置。所述方法包括:解析网页加载的DOM元素,并获取DOM元素中包括所有发布者地址的标签集;根据所述标签集判断是否存在第三方的发布者地址;如果存在所述第三方的发布者地址,将所述第三方的发布者发布的内容或根标签在所述网页突出显示;其中,所述第三方的发布者发布的内容为在所述网页添加或修改的DOM元素,所述根标签为所述添加或修改的DOM元素的根元素的标签。采用本方法能够识别和突出显示第三方注入的内容。
Source tracking method and device for third-party Web content injection
【技术实现步骤摘要】
面向网页第三方注入内容的来源追踪方法、装置
本申请涉及计算机网页开发
,特别是涉及一种面向网页第三方注入内容的来源追踪方法、装置。
技术介绍
目前,浏览器扩展增强了浏览器额外的实用功能,通常浏览器扩展的代码通常由第三方编写,通过浏览器扩展能实现从简单修改web网页外观到复杂的任务(如:内容的细粒度过滤),由此可见,浏览器扩展赋予第三方通过代码获得更多的权限,浏览器供应商对第三方的拓展功能不一定维护或支持。第三方可以实现这些拓展功能,例如,包括访问跨域内容,并执行不受同一初始规则约束的网络请求。由于赋予了第三方拓展功能,同时赋予了第三方攻击用户及其数据、底层系统、甚至是整个互联网的机会。随着网络广告越来越受欢迎,那些像ISP(InternetServiceProvider,互联网服务提供商)和浏览器扩展者那样有能力修改网络内容的人发现可以通过在网页中注入或替换广告来获得收入。例如,一些ISP(InternetServiceProvider,互联网服务提供商)开始篡改中转期的HTTP传输,将DOM元素注入HTML文档,同时将ISP的广告添加到客户访问的页面中。用类似的方式,浏览器扩展修改页面以注入DOM元素,以便向用户显示广告而不必获得用户的事先同意。广告注入已成为当今网络上未经允许便将第三方的内容注入的常见形式。这些做法对网页发布者和浏览网页的用户都有影响。一方面,广告注入将发布商的收入转移到负责广告注入的第三方,如果广告是出版商的主要收入来源,这可能会对他们的净收入产生重大影响;一方面,如果注入的广告包含或引用了涉及成人或政治等不被希望的主题内容,则广告注入也可能从浏览网页的用户的角度损害了网页发布者的声誉;一方面,如果内容注入本质上就是恶意的,除了使浏览网页的用户因恶意软件、网络钓鱼和其他威胁而面临安全风险之外,还可能进一步损害网页发布者的声誉。经过之前的研究还表明,经常使用广告注入网页的用户更容易受到恶意广告和传统恶意软件的攻击。为了防止第三方滥用拓展功能,某种较新的浏览器的扩展安全框架通过隔离细粒度的权限系统,并集成了最小权限分离功能,以限制第三方使用扩展功能。然而,扩展安全框架并不是万能的,事实上,因浏览器扩展过度赋予了第三方的权限和用户对第三方的权限所带来的威胁缺乏了解,扩展安全框架并不能有效避免第三方对用户网络的攻击。即使存在扩展安全框架,但最近研究表明,基于浏览器扩展的广告注入(如AdvertisementInjection,AdInjection)已成为一项流行且可牟利的技术,这使得诈骗者能通过用户对网页的广告浏览来取得收益,当用户访问网站时,第三方使用浏览器扩展仅在网页中注入或替换原始广告商的广告,便可将网页中的广告收入转移到第三方,用户在浏览网页时通常是否已经注入或替换了广告,即使注意到这种情况,也很难确定是谁注入或替换了广告。目前,由于会存在第三方注入恶意内容的问题,现有一部分浏览器供应商已经开始删除广告注入扩展。尽管扩展安全框架通过隔离细粒度的权限系统,并集成了最小权限分离功能,已经可以成功识别广告注入扩展,但入欺骗性扩展可以在短时间的分析期间隐藏其广告注入行为,还不能被这种半自动化的集中式检测方法识别;此外,这种半自动化的集中式检测方法还可能会错过一些广告注入扩展。另外,还有一些浏览器扩展不是通过网上应用商店提供的,用户可以从本地获得扩展,这种扩展很可能无法被这种半自动化的集中式检测方法检测。虽然,广告注入本身不一定被归类为完全的恶意行为,但是,第三方广告注入可能对用户和网站发布者的安全和隐私产生重大影响。例如,最近的研究表明,第三方通过浏览器拓展注入的广告不仅可以提供来自网络的广告,而且浏览器拓展注入的广告可能插入恶意成分来欺骗用户安装恶意软件。与此同时,由于第三方将广告注入到网页,转移了网站发布者的收入,同时可能使用户暴露于恶意软件中,并且用户通常不会意识到潜在的危险,通常认为是网站发布者对页面进行了修改。此外,对第三方通过浏览器拓展注入的广告是否恶意,通常由用户来判断,而用户需求的不一致性,很难判断第三方通过浏览器拓展注入的广告是否恶意,因此,不能取消此项浏览器拓展功能。目前,研究者提出了几种自动检测浏览器扩展中类似于广告注入的恶意行为的方法,例如,通过ChromeWebStore和Mozilla附加组件审核集中式分发点正在使用的拓展行为,以检测浏览器拓展功能使用不当的行为。由于此种技术存在一定滞后性,无法保证在第三方通过浏览器拓展的广告注入之前分析出恶意行为。最后,研究者提出了一种客户端检测的方法,它能报告任何偏离合法DOM(documentobjectmodel)结构的潜在广告注入,但这种方法需要用户拥有合法DOM结构的先验知识以及需要用户与网站发布者的合作。综合上述分析,现有的浏览器扩展功能,能够在一定程度上满足用户的需要,但是,浏览器扩展功能容易被第三方滥用,导致用户在浏览网页时碰到恶意插入内容,同时,网站发布者因为第三方插入的内容导致用户流失或收入受损。
技术实现思路
基于此,有必要针对上述技术问题,提供一种能够突出显示第三方注入内容的面向网页第三方注入内容的来源追踪方法、装置。一种面向网页第三方注入内容的来源追踪方法,所述方法包括:解析网页加载的DOM元素,并获取DOM元素中包括所有发布者地址的标签集;根据所述标签集判断是否存在第三方的发布者地址;如果存在所述第三方的发布者地址,将所述第三方的发布者发布的内容或根标签在所述网页突出显示;其中,所述第三方的发布者发布的内容为在所述网页添加或修改的DOM元素,所述根标签为所述添加或修改的DOM元素的根元素的标签。在其中一个实施例中,所述解析网页加载的DOM元素,并获取DOM元素中包括所有发布者地址的标签集步骤包括:解析网页加载的DOM元素的注释;根据所述DOM元素的注释,并获取DOM元素中包括所有发布者地址的标签集,所述标签集包括原始网页发布者地址。在其中一个实施例中,所述解析网页加载的DOM元素的注释包括:获取通过网页加载的DOM元素的注释:以递增的方式执行所述DOM元素的注释。在其中一个实施例中,所述根据所述标签集判断是否存在第三方的发布者地址步骤包括:根据所述标签集,判断是否存在除了所述原始网页发布者地址的第三方发布者地址。在其中一个实施例中,所述标签集还包括扩展的来源标签集使用的扩展标签;所述根据所述标签集判断是否存在第三方的发布者地址步骤包括:根据所述标签集是否包括所述拓展标签来判断是否存在第三方的发布者地址。在其中一个实施例中,所述如果存在所述第三方的发布者地址,将所述第三方的发布者发布的内容或根标签在所述网页突出显示步骤包括:如果存在所述第三方的发布者地址,获取第三方的发布者地址对应的DOM元素;对所述DOM元素设置视觉类标签,所述视觉类标签用于突出所述DOM元素在页面的显示特性;或者,将所述DOM元素的根标签,设置为在光标停留在所述DOM元素所在的网页位置时以可视方式显示。在其中一个实本文档来自技高网...
【技术保护点】
1.一种面向网页第三方注入内容的来源追踪方法,其特征在于,所述方法包括:/n解析网页加载的DOM元素,并获取DOM元素中包括所有发布者地址的标签集;/n根据所述标签集判断是否存在第三方的发布者地址;/n如果存在所述第三方的发布者地址,将所述第三方的发布者发布的内容或根标签在所述网页突出显示;其中,所述第三方的发布者发布的内容为在所述网页添加或修改的DOM元素,所述根标签为所述添加或修改的DOM元素的根元素的标签。/n
【技术特征摘要】
1.一种面向网页第三方注入内容的来源追踪方法,其特征在于,所述方法包括:
解析网页加载的DOM元素,并获取DOM元素中包括所有发布者地址的标签集;
根据所述标签集判断是否存在第三方的发布者地址;
如果存在所述第三方的发布者地址,将所述第三方的发布者发布的内容或根标签在所述网页突出显示;其中,所述第三方的发布者发布的内容为在所述网页添加或修改的DOM元素,所述根标签为所述添加或修改的DOM元素的根元素的标签。
2.根据权利要求1所述的方法,其特征在于,所述解析网页加载的DOM元素,并获取DOM元素中包括所有发布者地址的标签集步骤包括:
解析网页加载的DOM元素的注释;
根据所述DOM元素的注释,并获取DOM元素中包括所有发布者地址的标签集,所述标签集包括原始网页发布者地址。
3.根据权利要求2所述的方法,其特征在于,所述解析网页加载的DOM元素的注释包括:
获取通过网页加载的DOM元素的注释:
以递增的方式执行所述DOM元素的注释。
4.根据权利要求2所述的方法,其特征在于,所述根据所述标签集判断是否存在第三方的发布者地址步骤包括:
根据所述标签集,判断是否存在除了所述原始网页发布者地址的第三方发布者地址。
5.根据权利要求1所述的方法,其特征在于,所述标签集还包括扩展的来源标签集使用的扩展标签;
所述根据所述标签集判断是否存在第三方的发布者地址步骤包括:
根据所述标签集是否包括所述拓展标签来判断是否存在第三方的发布者地址。
6.根据权利要求1所述的方法,其特征在于,所述如果存在所述第三方的发布者地址,将所...
【专利技术属性】
技术研发人员:林军,麦松涛,
申请(专利权)人:中国电子产品可靠性与环境试验研究所工业和信息化部电子第五研究所中国赛宝实验室,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。