本文系统性研究了客户端 Web 安全机制在不同浏览器及浏览器扩展之间存在的安全不一致性问题。作者首先对常见的客户端安全机制（如内容安全策略 CSP、XSS 过滤器、跨域资源共享 CORS、HSTS 等）进行了梳理，并基于安全策略的生效条件、执行方式、绕过可能性等维度，提出了一个安全不一致性的分类法。随后，他们设计并执行了大规模的自动化测量实验，覆盖了主流浏览器（Chrome、Firefox、Safari、Edge 等）及其不同版本，以及多种流行的安全扩展（如 NoScript、uBlock Origin 等）。测量结果显示，同一种安全机制在不同浏览器甚至同一浏览器的不同版本之间，其行为存在显著差异，例如 CSP 的 strict-dynamic 指令在部分浏览器中未正确实现，XSS 过滤器在某些浏览器中完全缺失，CORS 预检请求的处理逻辑不统一等。基于这些发现，作者进一步讨论了攻击者如何利用这些不一致性来绕过客户端安全防御，并提出了几种跨浏览器攻击场景，例如通过兼容性差异绕过 CSP 注入过滤器。实验还表明，即使是安全扩展也无法完全消除这些不一致性，甚至自身也可能引入新的不一致。论文的主要贡献在于：1）首次系统化定义并量化了客户端 Web 安全的不一致性；2）提供了详尽的测量方法论和数据集，可供后续研究使用；3）揭示了实际风险的多样性，强调了统一跨浏览器安全标准的重要性。该研究适合浏览器厂商、Web 应用开发者以及安全研究人员阅读，以理解当前客户端安全生态的碎片化现状。