本文提出了一种自动化检测Web浏览器客户端安全机制缺陷的实用框架。该框架利用Web Platform Tests（WPT）这一跨浏览器测试套件，自动收集浏览器执行轨迹，并将其与Web不变式进行匹配。Web不变式是用一阶逻辑表示的Web机制预期安全属性，例如Cookie安全属性、混合内容策略等。研究团队在Firefox、Chromium和Safari三个主流浏览器上，针对9个关键安全不变式进行了验证，共发现104个测试用例中存在违反不变式的行为，这些违规具有明确的安全含义。例如，某些浏览器未正确实施Cookie的SameSite属性，导致跨站请求伪造攻击风险；或未严格执行混合内容策略，允许HTTPS页面加载HTTP资源。团队已向浏览器厂商和标准机构披露了违规的根本原因，并获得了8个单独报告和1个Safari的CVE。该工作的核心贡献在于：1) 形式化定义了Web安全机制的不变式；2) 基于WPT的自动化检测方法，可复用于其他浏览器或安全机制；3) 发现了实际浏览器中的多处安全缺陷。本文适合Web安全研究人员、浏览器开发者以及关注客户端安全机制的工程师阅读。