该论文针对现代 Web 应用中因浏览器与服务器之间对相同安全策略（如 Cookie 作用域、CSP、同源策略等）理解不一致而导致的安全漏洞问题，提出了一种称为“站点策略（Site Policy）”的防御机制。核心思路是由网站服务器在 HTTP 响应中以机器可读的格式明确声明其预期的安全策略，随后由浏览器端的一个专用组件负责强制执行，从而消除因客户端与服务器端策略解释差异带来的安全隐患。作者首先通过大规模测量研究，系统性地分类了 Web 不一致性问题的实际表现，包括跨站点请求伪造（CSRF）、点击劫持、信息泄露等多种攻击类型。接着，他们设计并实现了 Site Policy 系统，包括策略声明格式、浏览器端策略引擎以及策略冲突解决机制。实验在 Chromium 基础上开发了原型，并对 Alexa 排名前 10,000 的网站进行了兼容性测试，结果表明该机制能够有效阻止超过 90% 的已识别不一致性漏洞，同时性能开销极小（页面加载时间增加 <3%）。此外，作者还讨论了策略的更新、撤销以及与其他安全机制（如 CSP、SRI）的协同问题。该工作为从根本上解决 Web 平台长期存在的策略不一致性提供了系统化方案，适合浏览器开发者、安全策略研究人员以及 Web 安全工程师阅读。