CN101958896A - 一种安全的移动widget访问网络资源方法 - Google Patents
一种安全的移动widget访问网络资源方法 Download PDFInfo
- Publication number
- CN101958896A CN101958896A CN 201010290575 CN201010290575A CN101958896A CN 101958896 A CN101958896 A CN 101958896A CN 201010290575 CN201010290575 CN 201010290575 CN 201010290575 A CN201010290575 A CN 201010290575A CN 101958896 A CN101958896 A CN 101958896A
- Authority
- CN
- China
- Prior art keywords
- access request
- host
- assembly
- tabulation
- scheme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 108020001568 subdomains Proteins 0.000 claims description 5
- 238000009472 formulation Methods 0.000 claims description 2
- 239000000203 mixture Substances 0.000 claims description 2
- 230000006870 function Effects 0.000 description 4
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000027455 binding Effects 0.000 description 1
- 238000009739 binding Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种安全的移动widget访问网络资源方法,首先,定义了访问单元的格式,从而确保访问单元格式的统一;其次,制定了访问单元的执行规则,使用户代理根据访问单元标记的内容决定是否执行该访问单元,即是否执行访问请求,保证了不执行非法访问请求;最后,制定了允许访问的规则,用户代理根据该规则可以决定是否许可访问请求,保证了不许可非法的访问请求,进一步确保了访问的安全性。
Description
技术领域
本发明涉及移动widget领域、移动网络安全领域,特别是移动widget安全访问网络资源的方法。
背景技术
Widget是一小块可以在任意一个基于HTML的Web页面上执行的代码,它的表现形式可能是视频,地图,新闻,小游戏等。最初源于苹果电脑的一个插件工具--Konfabulator,现在已经扩展到各种桌面操作***和手机操作***上。手机中的移动互联网应用目前主要是手机客户端应用。经过几年的发展,出现了一定数量的手机客户端应用,包括***、电子书、手机杂志、手机地图、手机邮箱等,这些应用得到了手机用户一定程度的欢迎。但是对于手机客户端应用来说,主要问题有三个:第一,手机适配问题,几乎每一款客户端应用都面临对不同手机的适配工作量,导致第三方开发公司无法将精力完全倾注于多样性应用创新,往往是一款应用打天下;第二,不支持动态应用下载等技术问题,导致手机用户获取应用的直接渠道缺失;第三,存在客户端应用开发的门槛,无法实现大众参与。这些都导致手机客户端应用无法实现本质上数量和质量的激增,无法满足用户个性化的手机内容应用需求。Widget这种小应用形式对于手机终端这种比较有局限的硬件条件下,通过表现形式不一及功能不一,为现今越来越多的追求个性化手机要求的用户的一个很好的选择。目前主流的Widget包括Yahoo Widget、Google gadget、Apple dashboard Widget和FacebookWidget等。
Widget作为一种特殊的“网页”正在改变着互联网的访问方式,用户访问网络不再需要依赖于浏览器,而是靠这些小工具就可以实现web功能。Widget还向用户提供了全新的用户体验。通过Widget用户可以定制实现自己所需要的各种服务,随意个性化自己的桌面,体验它又小又酷的风格。虽然widget具有身材小、形式多、功能大、姿容丽、个性化、制作容易等众多的优点,但是widget本身也存在着安全隐患,当widget请求访问网络资源和服务时,会给终端用户带来潜在的危险。
通常移动widget在运行时,会需要访问一些潜在的敏感资源,比如电话本、日历、文件***等,而这些数据如果没有得到用户的授权是不能够公开的,这就需要有一种安全的方法能够控制widget访问这些敏感信息。Widget运行时所在的环境就叫做widget用户代理,包括:1、本地的支持widget的网络浏览器;2、如插件等这类浏览器扩展模块;3、在网络浏览器内运行的Ajax库;4、独立于浏览器的专用用户代理,如Java虚拟机(JVM)中使用J2SE或J2ME实现的用户代理、公共语言运行库(CLR)中使用.NET实现的用户代理、运行在操作***之上的本地桌面程序等;5、在服务器端运行的能够处理渲染和绑定操作的运行库集。本发明就是在widget用户代理上制定widget访问网络的安全性规则。
现有的移动widget访问网络资源的方法大多是直接访问或者是完全不访问网络资源,前者会带来巨大的安全隐患,使移动widget访问到一些可能嵌入了恶意代码的网络资源,后者虽然没有安全隐患,但限制了移动widget的功能。
发明内容
为了使移动widget能够安全的访问网络资源,确保终端用户的安全,保证用户在安全的环境中使用移动widget,体验移动widget的强大功能。本发明的目的在于提供一种安全的移动widget访问网络的方法。
本发明解决技术问题所采用的技术方案是,包括如下步骤:
(1)定义访问单元
访问单元包括源和子域两个属性,移动widget通过访问单元发出访问网络资源的请求;
(2)制定访问单元的执行规则
如果源的值是单一的星号(*),或者源、子域和机制符合访问单元的执行规则,则将widget访问请求的网址放入访问请求列表中,其中访问请求列表包括scheme、host、port、sub domains信息;
(3)允许访问的规则
如果访问请求列表中包含星号(*)项,则所有的访问请求都被许可;
如果访问请求列表是特定的统一资源标识符,需满足以下条件之一,则访问请求被许可:
I统一资源标识符的scheme组件和访问请求列表中的scheme相同;
II子域为假,而统一资源标识符的host组件不符合域名规定,或host组件和访问请求列表中的host相同;
III子域为真,统一资源标识符的host组件和访问请求列表中的host相同,或者统一资源标识符的host组件是访问请求列表中host的一个子域;
IV统一资源标识符的port组件和访问请求列表中的port相同。
所述的源、子域和机制符合访问单元的执行规则,是指除以下条件之外,都将其加入访问请求列表,
如果源不是一个有效的国际化资源标识符,如果源有scheme、iauthority以外的组件,如果源没有host组件;
如果子域的值不是一个有效的布尔值;
如果得到scheme的值,而用户代理不支持scheme组件。
所述步骤(2)中,如果源的scheme组件是超文本传输协议(http)或安全超文本传输协议(https),则用ToASCII算法处理host组件的值,将host组件翻译为相应的字符串,再加入到访问请求列表中。
所述步骤(3)中,如果网络请求中的scheme是http或https,用户代理必须用不区分大小写的方式比较host组件和访问请求列表中的host。
本发明具有的有益效果是:首先,定义了访问单元的格式,从而确保访问单元格式的统一;其次,制定了访问单元的执行规则,使用户代理根据访问单元标记的内容决定是否执行该访问单元,即是否执行访问请求,保证了不执行非法访问请求;最后,制定了允许访问的规则,用户代理根据该规则可以决定是否许可访问请求,保证了不许可非法的访问请求,进一步确保了访问的安全性。
附图说明
图1是本发明一种实施例的总体流程图;
图2是本发明一种实施例的访问单元执行流程图;
图3是本发明一种实施例的允许访问网络资源的流程图。
具体实施方式
图1是本发明一种实施例的总体流程图,首先,定义访问单元,访问单元包括源和子域两个属性,移动widget通过访问单元发出访问网络资源的请求。
其次,制定访问单元的执行规则,如果源的值是单一的星号*,或者源、子域和机制符合访问单元的执行规则,则将widget访问请求的网址放入访问请求列表中,其中访问请求列表包括scheme、host、port、sub domains信息。最后,制定了允许访问的规则,用户代理根据该规则可以决定是否许可访问请求,保证了不许可非法的访问请求,进一步确保了访问的安全性。
本发明的具体实现流程如下:
1)访问单元的定义
访问单元允许作者请求用户代理同意其检索网络资源,零个或多个访问单元可以放在配置文件中,有两个属性:源(origin)和子域(sub domains);
下面是访问单元的定义例子:
2)访问单元的执行规则
图2是本发明一种实施例的访问单元执行流程图,用户代理在算法中允许调用其他类型单元的代码处,必须根据规则执行访问单元,从而执行配置文件,具体步骤和规则如下:
以下步骤中host、port、scheme、iauthority为统一资源标识符(URI)和国际化资源标识符(IRI)中的术语;
①把一个单元定义为访问单元去执行;
②如果源属性为空,则该单元标记为错,用户代理忽略这个单元;
③得到源的值,如果是单一的星号(*),则用户代理必须把星号(*)放入请求访问表中,以及不执行以下所有步骤;
④如果源不是一个有效的国际化资源标识符(IRI),如果源有scheme、iauthority以外的组件,如果源没有host组件,则该单元标记为错,用户代理忽略这个单元,不将其加入访问请求列表;
得到子域的值,如果这个值不是一个有效的布尔值,则该单元标记为错,用户代理忽略这个单元,不将其加入访问请求列表;其中,有效的有效的布尔值是指true或false。
⑤定义scheme为源的scheme组件,定义host为源的host组件,定义port为源的port组件,或不定义port组件;
⑥如果用户代理不支持scheme组件,则该单元标记为错,用户代理忽略这个单元,不将其加入访问请求列表;
⑦如果scheme组件是超文本传输协议(http)或安全超文本传输协议(https),则用户必须用ToASCII算法处理主组件的值,将host组件翻译为相应的字符串,将host组件翻译为相应的字符串,再加入到访问请求列表中;
⑧用户代理必须在访问请求表中加入scheme、host、port、sub domains元组(分别为机制、主机、端口、子域);
以下是host、port、scheme、iauthority的举例,其中iauthority包括host和port。
3)允许访问网络资源的规则
图3是本发明一种实施例的允许访问网络资源的流程图,当多个处理单元被执行时,被允许的网络连接就是被用户代理允许的访问请求,具体规则如下:
①如果访问请求表中包含星号(*)项,则所有的访问请求都被许可;
②访问请求被一个特定的统一资源标识符(URI)许可,条件如下:
I URI的scheme组件和访问请求表中的scheme相同;
II子域subdomains为假,而统一资源标识符(URI)的host组件不是一个域名,或host组件和访问请求表中的host相同;
III子域subdomains为真,统一资源标识符(URI)的host组件和访问请求表中的host相同,或者是host的一个子域;
IV统一资源标识符(URI)的port组件和访问请求表中的port相同;
③在运行时,如果一个网络请求是来自于widget执行范围之内的,用户代理用以上规则匹配,同时如果scheme是http或https,在以上规则中用户代理必须用不区分大小写的方式比较host组件和访问请求列表中的host。
Claims (4)
1.一种安全的移动widget访问网络资源方法,其特征在于包括如下步骤:
(1)定义访问单元
访问单元包括源和子域两个属性,移动widget通过访问单元发出访问网络资源的请求;
(2)制定访问单元的执行规则
如果源的值是单一的星号(*),或者源、子域和机制符合访问单元的执行规则,则将widget访问请求的网址放入访问请求列表中,其中访问请求列表包括scheme、host、port、sub domains信息;
(3)允许访问的规则
如果访问请求列表中包含星号(*)项,则所有的访问请求都被许可;
如果访问请求列表是特定的统一资源标识符,需满足以下条件之一,则访问请求被许可:
I统一资源标识符的scheme组件和访问请求列表中的scheme相同;
II子域为假,而统一资源标识符的host组件不符合域名规定,或host组件和访问请求列表中的host相同;
III子域为真,统一资源标识符的host组件和访问请求列表中的host相同,或者统一资源标识符的host组件是访问请求列表中host的一个子域;
IV统一资源标识符的port组件和访问请求列表中的port相同。
2.根据权利要求1所述的安全的移动widget访问网络资源方法,其特征在于:所述的源、子域和机制符合访问单元的执行规则,是指除以下条件之外,都将其加入访问请求列表,
如果源不是一个有效的国际化资源标识符,如果源有scheme、iauthority以外的组件,如果源没有host组件;
如果子域的值不是一个有效的布尔值;
如果得到scheme的值,而用户代理不支持scheme组件。
3.根据权利要求1所述的安全的移动widget访问网络资源方法,其特征在于:所述步骤(2)中,如果源的scheme组件是超文本传输协议(http)或安全超文本传输协议(https),则用ToASCII算法处理host组件的值,将host组件翻译为相应的字符串,再加入到访问请求列表中。
4.根据权利要求1所述的安全的移动widget访问网络资源方法,其特征在于:所述步骤(3)中,如果网络请求中的scheme是http或https,用户代理必须用不区分大小写的方式比较host组件和访问请求列表中的host。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010290575 CN101958896A (zh) | 2010-09-25 | 2010-09-25 | 一种安全的移动widget访问网络资源方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010290575 CN101958896A (zh) | 2010-09-25 | 2010-09-25 | 一种安全的移动widget访问网络资源方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101958896A true CN101958896A (zh) | 2011-01-26 |
Family
ID=43486002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010290575 Pending CN101958896A (zh) | 2010-09-25 | 2010-09-25 | 一种安全的移动widget访问网络资源方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101958896A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833258A (zh) * | 2012-08-31 | 2012-12-19 | 北京奇虎科技有限公司 | 网址访问方法及*** |
-
2010
- 2010-09-25 CN CN 201010290575 patent/CN101958896A/zh active Pending
Non-Patent Citations (1)
| Title |
|---|
| 《W3C》 20100420 W3C Widget Access Request Policy W3C 第1-7节 1-4 , * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833258A (zh) * | 2012-08-31 | 2012-12-19 | 北京奇虎科技有限公司 | 网址访问方法及*** |
| WO2014032619A1 (zh) * | 2012-08-31 | 2014-03-06 | 北京奇虎科技有限公司 | 网址访问方法及*** |
| CN102833258B (zh) * | 2012-08-31 | 2015-09-23 | 北京奇虎科技有限公司 | 网址访问方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11799984B2 (en) | Installable web applications | |
| TWI682653B (zh) | 短連結解析方法、裝置及設備 | |
| US10642904B2 (en) | Infrastructure enabling intelligent execution and crawling of a web application | |
| US8819817B2 (en) | Methods and apparatus for blocking usage tracking | |
| US8843820B1 (en) | Content script blacklisting for use with browser extensions | |
| Mann et al. | A framework for static detection of privacy leaks in android applications | |
| US11128660B2 (en) | Methods and systems for accessing a resource with multiple user identities | |
| US10015226B2 (en) | Methods for making AJAX web applications bookmarkable and crawlable and devices thereof | |
| US20130254855A1 (en) | Dynamic rendering of a document object model | |
| CN105940409A (zh) | 网络服务沙箱*** | |
| WO2017008581A1 (zh) | 应用程序的测试方法、客户端及*** | |
| KR20100049669A (ko) | 보안 모듈 간 통신 메커니즘 | |
| GB2503070A (en) | Dynamic rendering of a Document Object Model (DOM) | |
| CN109325192B (zh) | 一种广告防屏蔽的方法和装置 | |
| US11882154B2 (en) | Template representation of security resources | |
| US10924570B2 (en) | Notification updates for saved sites | |
| CN101958896A (zh) | 一种安全的移动widget访问网络资源方法 | |
| CN115203672A (zh) | 信息访问的管控方法、装置、计算机设备及介质 | |
| Chen et al. | Design of Rich Client Web Architecture Based on HTML5 | |
| US11716381B2 (en) | Exporting data to a cloud-based service | |
| CN114996621B (zh) | 一种用户自选门户首页的方法、***和存储介质 | |
| US20140068016A1 (en) | System and Method for Web Application Acceleration | |
| KR20130090172A (ko) | 게시판을 생성하고 관리하고 표시하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110126 |