本文提出了一种自动化检测Web浏览器客户端安全机制缺陷的实用框架。该框架利用Web Platform Tests（WPT）这一跨浏览器测试套件，自动收集浏览器执行轨迹，并将其与Web不变式进行匹配。Web不变式是用一阶逻辑表示的Web机制预期安全属性，例如Cookie安全属性、混合内容策略等。研究团队在Firefox、Chromium和Safari三个主流浏览器上，针对9个关键安全不变式进行了验证，共发现104个测试用例中存在违反不变式的行为，这些违规具有明确的安全含义。例如，某些浏览器未正确实施Cookie的SameSite属性，导致跨站请求伪造攻击风险；或未严格执行混合内容策略，允许HTTPS页面加载HTTP资源。团队已向浏览器厂商和标准机构披露了违规的根本原因，并获得了8个单独报告和1个Safari的CVE。该工作的核心贡献在于：1) 形式化定义了Web安全机制的不变式；2) 基于WPT的自动化检测方法，可复用于其他浏览器或安全机制；3) 发现了实际浏览器中的多处安全缺陷。本文适合Web安全研究人员、浏览器开发者以及关注客户端安全机制的工程师阅读。

本文系统性研究了客户端 Web 安全机制在不同浏览器及浏览器扩展之间存在的安全不一致性问题。作者首先对常见的客户端安全机制（如内容安全策略 CSP、XSS 过滤器、跨域资源共享 CORS、HSTS 等）进行了梳理，并基于安全策略的生效条件、执行方式、绕过可能性等维度，提出了一个安全不一致性的分类法。随后，他们设计并执行了大规模的自动化测量实验，覆盖了主流浏览器（Chrome、Firefox、Safari、Edge 等）及其不同版本，以及多种流行的安全扩展（如 NoScript、uBlock Origin 等）。测量结果显示，同一种安全机制在不同浏览器甚至同一浏览器的不同版本之间，其行为存在显著差异，例如 CSP 的 strict-dynamic 指令在部分浏览器中未正确实现，XSS 过滤器在某些浏览器中完全缺失，CORS 预检请求的处理逻辑不统一等。基于这些发现，作者进一步讨论了攻击者如何利用这些不一致性来绕过客户端安全防御，并提出了几种跨浏览器攻击场景，例如通过兼容性差异绕过 CSP 注入过滤器。实验还表明，即使是安全扩展也无法完全消除这些不一致性，甚至自身也可能引入新的不一致。论文的主要贡献在于：1）首次系统化定义并量化了客户端 Web 安全的不一致性；2）提供了详尽的测量方法论和数据集，可供后续研究使用；3）揭示了实际风险的多样性，强调了统一跨浏览器安全标准的重要性。该研究适合浏览器厂商、Web 应用开发者以及安全研究人员阅读，以理解当前客户端安全生态的碎片化现状。

该研究聚焦于现代Web浏览器中权限机制的实现与行为一致性。尽管权限机制对保护用户隐私至关重要（如控制摄像头、麦克风、GPS等设备资源的访问），但此前缺乏对多种浏览器实现行为的系统性理解。为此，作者开发了PERMIUM，一个自动分析浏览器权限机制行为的框架。利用该框架，他们对5种操作系统（含移动端和桌面端）上的22个主流浏览器实现进行了系统研究。研究发现，即使是同一浏览器的不同操作系统版本（如Windows Chrome vs iOS Chrome），其权限机制的实现和行为也存在碎片化和不一致性，这种不一致可能导致隐私风险。基于测量揭示的问题，作者构建了两种概念验证攻击：第一种利用权限信息收集来秘密跟踪用户；第二种使用户无法正确判断权限请求的来源，从而错误地向恶意网站授予权限。最后，论文明确了隐私机制中需要标准化的技术问题，并向操作系统/浏览器厂商提出了缓解威胁的建议。该研究适合浏览器安全研究者、浏览器厂商及隐私保护技术开发者阅读。

该论文是系统化知识（SoK）研究，旨在对现代Web浏览器的低层攻击面进行系统化分类和分析。背景是：浏览器作为远程攻击面，内存破坏漏洞在真实世界利用中仍占核心地位。尽管过去十年已有大量浏览器测试和漏洞披露工作，但社区仍缺乏一个明确的、防御导向的低层攻击面系统化框架。先前SoK论文调查了浏览器漏洞和缓解技术，但视角碎片化，未回答一个核心问题：现代Web浏览器的低层攻击面如何结构化？哪些部分在现有安全测试中尚待探索？为回答该问题，作者提出三个子问题：（RQ1）浏览器的攻击面如何沿输入类和组件结构化？（RQ2）内存破坏漏洞在该分类中出现在何处？（RQ3）这些攻击面模式对现有浏览器安全测试有何启示？针对RQ1，作者推导出一个架构驱动的“输入×组件×权限”分类法，将浏览器架构抽象为统一视图。针对RQ2，他们将2016年至2025年间公开的2233个内存破坏报告映射到该分类法上。针对RQ3，他们将过去十年的学术浏览器模糊测试器（按目标输入类分类）叠加到bug密度图上。系统化工作揭示：当前测试集中在已充分探索的组件，而bug密集、高影响的攻击面测试不足。此外，他们识别出三个与学术工作正交的模糊测试部署缺口。该工作为未来的浏览器安全研究提供了结构化基础。

Rowhammer 攻击是一种利用 DRAM 单元之间电磁耦合效应导致比特翻转的硬件漏洞。传统上，此类攻击需要本地代码执行或特定硬件访问权限。该论文提出了一种名为 Posthammer 的新型攻击向量，通过浏览器中的 JavaScript 代码，利用延迟刷新命令（postponed refresh commands）实现在广泛使用的 DRAM 模块上引发 Rowhammer 比特翻转。作者分析了现代 DRAM 刷新机制的弱点，并设计了一种无需任何权限的纯浏览器端攻击方法。实验表明，Posthammer 能在多款主流浏览器和 DRAM 型号上成功诱导比特翻转，从而可能实现权限提升、信息泄露或拒绝服务。该工作首次证明了在浏览器环境中利用延迟刷新命令进行 Rowhammer 攻击的可行性，对云服务和终端用户安全构成潜在威胁。

本文针对现代浏览器（Chrome、Firefox）的站点隔离（Site Isolation）安全架构，提出了一种自动检测逻辑漏洞的方法。站点隔离通过将不同站点的渲染进程隔离到独立的沙箱中，以缓解Spectre等微架构攻击和渲染器内存破坏的影响。其安全依赖于操作系统进程隔离和浏览器进程的正确策略实施：浏览器进程需追踪每个渲染进程对应的站点上下文，并通过IPC消息限制跨站网络通信，遵守同源策略和CORS。若站点映射或策略实施存在逻辑缺陷，则可能导致站点隔离绕过漏洞，使攻击者能够跨站执行恶意JavaScript或窃取cookie。由于此类语义漏洞不会产生明显崩溃，传统工具（如Address Sanitizer）难以检测。作者提出了第一个自动检测方法：设计了一个新颖的检测规则，通过识别进程级别的跨站数据泄露来定位语义漏洞；并开发了一个模糊测试工具，模拟被攻破的渲染进程，通过挂钩IPC通信来利用浏览器进程作为“被混淆的代理人”，尝试发送恶意IPC消息。实验在Chrome和Firefox上发现了四个安全漏洞：其中三个漏洞允许跨站数据泄露，第四个漏洞可导致对受害者站点的完全控制。该研究为浏览器安全测试提供了自动化手段，适用于浏览器厂商和安全研究人员进一步评估和加固站点隔离实现。

该论文提出了一种新颖的浏览器扩展指纹识别技术，能够绕过传统时间敏感的检测方法。通过利用浏览器扩展的瞬时修改，攻击者可以持续地识别用户安装的扩展，即使这些扩展在正常浏览过程中不会留下持久痕迹。研究展示了如何通过操纵扩展的API行为或临时注入内容来建立独特的指纹，并在多种浏览器和扩展组合上验证了有效性。实验结果表明，该方法能够以高精度识别扩展，且难以被现有防御机制检测。该工作揭示了浏览器扩展生态中一个新的隐私威胁向量。

本文系统性研究了现代CSS动态特性在无脚本指纹识别中的应用，特别是针对浏览器和电子邮件客户端。作者提出了三种创新技术：基于模糊测试的CSS容器查询利用、基于模板的算术函数利用以及复杂选择器利用，能够高精度推断应用、操作系统和硬件配置。在浏览器端，实验测试了1176种浏览器-操作系统组合，区分准确率达97.95%。在电子邮件端，21个测试的网页、桌面或移动邮件应用中有8个可被成功指纹识别，证实了即使在HTML邮件这种高度受限的环境中，指纹识别仍然可能。为了防御此类攻击，作者提出了两种机制：一是预加载条件资源以消除基于特征的泄露；二是设计邮件代理服务，在保留隐私和邮件完整性的同时保持功能兼容性。本文为隐私保护提供了新的见解和解决方案，强调了针对新兴追踪方法的健壮防御的重要性。

本文研究浏览器扩展对用户安全的影响。浏览器扩展是轻量级软件，用于增强浏览器功能，但常被授予高权限，可访问、修改网页内容，甚至拦截网络请求。尽管用户依赖扩展提升效率，但许多扩展存在安全漏洞，如滥用权限、数据泄露、注入恶意代码或成为攻击向量。作者通过系统化分析，揭示了扩展如何破坏安全：一方面，合法扩展可能因设计缺陷泄露敏感信息；另一方面，恶意扩展伪装成有用工具窃取凭据或监视浏览活动。论文提出了一个分类框架，区分扩展带来的安全威胁类型，包括隐私泄露、中间人攻击、凭证盗窃等，并评估了当前浏览器安全模型（如最小权限原则）的不足。实验部分基于对Chrome Web Store中数千个扩展的静态分析，发现大量扩展请求超出功能的权限，部分存在已知安全漏洞。研究还通过案例展示了攻击者如何利用扩展进行持久化控制。本文贡献在于提供了一个全面的扩展安全威胁模型，并建议浏览器厂商加强权限审查和运行时监控。适合安全研究员、浏览器开发者及企业安全管理员阅读。

论文提出 ScriptChecker，一个基于浏览器的新型框架，旨在根据宿主网页的指令有效且高效地限制第三方脚本的执行。与所有现有在 JavaScript 层工作的方案不同，ScriptChecker 整体利用上下文分离和浏览器的安全监视器，对执行不可信代码的任务实施按需访问控制。宿主页面可以在创建任务时灵活地为任务分配资源访问能力，利用任务能力方法，ScriptChecker 在安全性、可用性和性能方面优于现有技术。在 Chrome 上实现了原型，并针对 1373 个恶意脚本进行了严格的安全性评估，同时对排名前 1000 的网站进行了可用性实证研究。实验结果表明，其强大的安全性和易用性是以几乎不可察觉的性能损失为代价的：每次 DOM 访问的仲裁开销约 0.2 微秒，加载流行的 JS 图形和实用库时延迟增加 5%。该工作适合浏览器安全研究人员、Web 应用开发者以及关注第三方脚本风险的安全分析师阅读。

该论文发现了一类在浏览器中未被现有防御机制缓解的隐蔽通道，称为“pool-party”攻击。这类攻击通过操纵有限但未隔离的资源池（如连接池、缓存等）来创建跨站点的隐蔽通道。研究者证明，这类攻击比先前认知的更普遍、更实用，且可利用方式更多。这些隐蔽通道拥有足够的带宽，能够在实际条件下跨站点传递cookie和标识符。在Chrome和Edge中，攻击只需0.6秒，在Firefox和Tor浏览器中约需7秒。论文主要贡献包括：1）描述了利用浏览器应用层资源池限制的pool-party隐蔽通道攻击；2）通过代表性网络爬取实验，证明该攻击在所有流行浏览器中均可行，可用于追踪用户，并开源了攻击实现；3）在基于Gecko的浏览器（包括Tor浏览器）中，该攻击还可用于跨配置文件追踪（例如关联正常浏览和隐私浏览模式下的用户行为）；4）讨论了可能的缓解策略和防御措施。该研究对理解浏览器隐私威胁和推动浏览器安全加固具有重要价值。

本文是对W3C Web Payment API标准的首次形式化安全分析。Web Payment API旨在通过浏览器原生支持支付功能，统一在线结账流程，已被Chrome、Firefox、Edge等主流浏览器及Google Pay、Apple Pay、Stripe等支付处理器广泛采用，预计将服务全球数百万用户。研究者基于Web基础设施模型（WIM）——当前最全面的Web基础设施模型——扩展了通用浏览器模型以集成新的支付功能，从而对标准进行了严格的形式化分析。分析发现了两个关键漏洞：恶意商户可以利用这些漏洞向不知情的客户超额收费。研究者利用Chrome浏览器实现了攻击验证，并将问题报告给W3C和Chrome开发团队，双方均已确认问题。此外，研究者提出了标准修复方案，该方案已被W3C和Chrome采纳，并证明了修复后的Web Payment API满足强安全属性。研究贡献在于首次对此类标准进行形式化安全评估，揭示了实际风险并推动了行业安全改进。对于安全工程师、浏览器开发者、支付系统设计者以及参与标准制定的机构具有重要参考价值。

随着网络浏览器逐步限制客户端追踪，网络追踪生态正从客户端追踪向服务器端追踪（SST）转移。在SST中，浏览器将追踪请求发送到中间端点，再由该端点转发至追踪器的最终端点，从而消除了客户端到追踪器的直接请求。这使得现有的基于拦截已知追踪器端点的防护措施失效。本文针对当前网络中最广泛部署的第三方追踪服务——Google Analytics，深入研究了其服务器端实现（sGA）。作者提出了SST-Guard，一个多模态、基于浏览器的系统，用于检测和拦截服务器端Google Analytics。核心洞察在于：即便追踪器端点发生变化，sGA仍然必须收集和共享与客户端Google Analytics相同的语义信息（例如标识符、事件元数据）。因此，SST-Guard并非检测发往已知Google Analytics端点的请求，而是检测这些语义值被收集并发送至任意端点的底层行为。将这一洞察付诸实践面临挑战：真实的sGA部署常常自定义端点并混淆URL/载荷。SST-Guard采用一种值模板方法，通过正则表达式匹配网络请求、Cookie和window对象三种模态中的语义值模式，从而解决该挑战。作者在Tranco top-10k网站上验证了SST-Guard，检测出4.02%（403个）的sGA域名，三种模态的平均准确率超过93%，其中网络请求分类器准确率最高（99.8%）。通过在实际环境中部署SST-Guard，发现Tranco top-150k网站中有4.21%（6,314个）使用了sGA。该研究首次大规模揭示了服务器端Google Analytics的普遍性，并为防御此类隐晦追踪提供了可行方案。适合关注网络隐私、追踪防护和浏览器安全的研究人员及工程师阅读。