本文是对W3C Web Payment API标准的首次形式化安全分析。Web Payment API旨在通过浏览器原生支持支付功能，统一在线结账流程，已被Chrome、Firefox、Edge等主流浏览器及Google Pay、Apple Pay、Stripe等支付处理器广泛采用，预计将服务全球数百万用户。研究者基于Web基础设施模型（WIM）——当前最全面的Web基础设施模型——扩展了通用浏览器模型以集成新的支付功能，从而对标准进行了严格的形式化分析。分析发现了两个关键漏洞：恶意商户可以利用这些漏洞向不知情的客户超额收费。研究者利用Chrome浏览器实现了攻击验证，并将问题报告给W3C和Chrome开发团队，双方均已确认问题。此外，研究者提出了标准修复方案，该方案已被W3C和Chrome采纳，并证明了修复后的Web Payment API满足强安全属性。研究贡献在于首次对此类标准进行形式化安全评估，揭示了实际风险并推动了行业安全改进。对于安全工程师、浏览器开发者、支付系统设计者以及参与标准制定的机构具有重要参考价值。

随着网络浏览器逐步限制客户端追踪，网络追踪生态正从客户端追踪向服务器端追踪（SST）转移。在SST中，浏览器将追踪请求发送到中间端点，再由该端点转发至追踪器的最终端点，从而消除了客户端到追踪器的直接请求。这使得现有的基于拦截已知追踪器端点的防护措施失效。本文针对当前网络中最广泛部署的第三方追踪服务——Google Analytics，深入研究了其服务器端实现（sGA）。作者提出了SST-Guard，一个多模态、基于浏览器的系统，用于检测和拦截服务器端Google Analytics。核心洞察在于：即便追踪器端点发生变化，sGA仍然必须收集和共享与客户端Google Analytics相同的语义信息（例如标识符、事件元数据）。因此，SST-Guard并非检测发往已知Google Analytics端点的请求，而是检测这些语义值被收集并发送至任意端点的底层行为。将这一洞察付诸实践面临挑战：真实的sGA部署常常自定义端点并混淆URL/载荷。SST-Guard采用一种值模板方法，通过正则表达式匹配网络请求、Cookie和window对象三种模态中的语义值模式，从而解决该挑战。作者在Tranco top-10k网站上验证了SST-Guard，检测出4.02%（403个）的sGA域名，三种模态的平均准确率超过93%，其中网络请求分类器准确率最高（99.8%）。通过在实际环境中部署SST-Guard，发现Tranco top-150k网站中有4.21%（6,314个）使用了sGA。该研究首次大规模揭示了服务器端Google Analytics的普遍性，并为防御此类隐晦追踪提供了可行方案。适合关注网络隐私、追踪防护和浏览器安全的研究人员及工程师阅读。