[发明专利]面向网页第三方注入内容的来源追踪方法、装置

说明书

本申请涉及一种面向网页第三方注入内容的来源追踪方法、装置。所述方法包括：解析网页加载的DOM元素，并获取DOM元素中包括所有发布者地址的标签集；根据所述标签集判断是否存在第三方的发布者地址；如果存在所述第三方的发布者地址，将所述第三方的发布者发布的内容或根标签在所述网页突出显示；其中，所述第三方的发布者发布的内容为在所述网页添加或修改的DOM元素，所述根标签为所述添加或修改的DOM元素的根元素的标签。采用本方法能够识别和突出显示第三方注入的内容。

技术领域

本申请涉及计算机网页开发技术领域，特别是涉及一种面向网页第三方注入内容的来源追踪方法、装置。

背景技术

目前，浏览器扩展增强了浏览器额外的实用功能，通常浏览器扩展的代码通常由第三方编写，通过浏览器扩展能实现从简单修改web网页外观到复杂的任务(如：内容的细粒度过滤)，由此可见，浏览器扩展赋予第三方通过代码获得更多的权限，浏览器供应商对第三方的拓展功能不一定维护或支持。第三方可以实现这些拓展功能，例如，包括访问跨域内容，并执行不受同一初始规则约束的网络请求。由于赋予了第三方拓展功能，同时赋予了第三方攻击用户及其数据、底层系统、甚至是整个互联网的机会。

随着网络广告越来越受欢迎，那些像ISP(Internet Service Provider，互联网服务提供商)和浏览器扩展者那样有能力修改网络内容的人发现可以通过在网页中注入或替换广告来获得收入。例如，一些ISP(Internet Service Provider，互联网服务提供商)开始篡改中转期的HTTP传输，将DOM元素注入HTML文档，同时将ISP的广告添加到客户访问的页面中。用类似的方式，浏览器扩展修改页面以注入DOM元素，以便向用户显示广告而不必获得用户的事先同意。广告注入已成为当今网络上未经允许便将第三方的内容注入的常见形式。

这些做法对网页发布者和浏览网页的用户都有影响。一方面，广告注入将发布商的收入转移到负责广告注入的第三方，如果广告是出版商的主要收入来源，这可能会对他们的净收入产生重大影响；一方面，如果注入的广告包含或引用了涉及成人或政治等不被希望的主题内容，则广告注入也可能从浏览网页的用户的角度损害了网页发布者的声誉；一方面，如果内容注入本质上就是恶意的，除了使浏览网页的用户因恶意软件、网络钓鱼和其他威胁而面临安全风险之外，还可能进一步损害网页发布者的声誉。经过之前的研究还表明，经常使用广告注入网页的用户更容易受到恶意广告和传统恶意软件的攻击。

为了防止第三方滥用拓展功能，某种较新的浏览器的扩展安全框架通过隔离细粒度的权限系统，并集成了最小权限分离功能，以限制第三方使用扩展功能。然而，扩展安全框架并不是万能的，事实上，因浏览器扩展过度赋予了第三方的权限和用户对第三方的权限所带来的威胁缺乏了解，扩展安全框架并不能有效避免第三方对用户网络的攻击。即使存在扩展安全框架，但最近研究表明，基于浏览器扩展的广告注入(如AdvertisementInjection,Ad Injection)已成为一项流行且可牟利的技术，这使得诈骗者能通过用户对网页的广告浏览来取得收益，当用户访问网站时，第三方使用浏览器扩展仅在网页中注入或替换原始广告商的广告，便可将网页中的广告收入转移到第三方，用户在浏览网页时通常是否已经注入或替换了广告，即使注意到这种情况，也很难确定是谁注入或替换了广告。

目前，由于会存在第三方注入恶意内容的问题，现有一部分浏览器供应商已经开始删除广告注入扩展。尽管扩展安全框架通过隔离细粒度的权限系统，并集成了最小权限分离功能，已经可以成功识别广告注入扩展，但入欺骗性扩展可以在短时间的分析期间隐藏其广告注入行为，还不能被这种半自动化的集中式检测方法识别；此外，这种半自动化的集中式检测方法还可能会错过一些广告注入扩展。另外，还有一些浏览器扩展不是通过网上应用商店提供的，用户可以从本地获得扩展，这种扩展很可能无法被这种半自动化的集中式检测方法检测。