CN112703496B - 关于恶意浏览器插件对应用用户的基于内容策略的通知 - Google Patents

Abstract

所公开的系统和方法包括：通过浏览器应用接收网络应用数据，所述网络应用数据包括受信任源规则，所述受信任源规则具有对于网络应用的用户来说唯一的网络应用用户标识符(ID)；以及当通过浏览器应用确定违反了受信任源规则时，向数据处理系统发送具有网络应用用户ID的规则违反报告，以供分析来确定对浏览器应用的恶意操纵；以及在用户设备处从数据处理系统接收与规则违反报告相对应的、关于浏览器应用被恶意操纵的警报。

Description

关于恶意浏览器插件对应用用户的基于内容策略的通知

技术领域

概括地，本公开内容涉及网站内容安全，并且更具体地，本公开内容涉及检测恶意代码的企图注入并对网站访问应用用户进行告警。

背景技术

网站内容受信任源规则是一种网站访问应用安全特征，它允许网页向拜访应用提供已批准内容源的“白名单”，并阻止拜访应用从不在列表上的来源接收内容。提供和管理网站内容受信任源规则的一种技术是内容安全策略(CSP)。CSP可以与用于访问网站和网络应用的各种“浏览器”应用一起运行，尤其是与识别CSP标志的现代浏览器应用一起使用，并且通常可以阻止此类应用从不在白名单上的来源接收内容。例如，CSP可以被包括在服务器侧的超文本传输协议(HTTP)响应报头中。一个示例CSP可以将拜访浏览器应用对JavaScript(js)文件的接收限制为仅从*.microsoft.com加载。这种由CSP配置提供的示例保护可以包括阻止拜访浏览器应用执行由攻击者注入的恶意脚本。

但是，当前CSP技术的技术问题包括缺乏向浏览器应用用户提供针对恶意脚本的有效警告。另外，现代浏览器应用中的插件和扩展程序被允许操作在浏览器应用上下文中打开的网页的文档对象模型(DOM)。该机制可能会被恶意插件和扩展程序利用，例如，将广告、加密币挖掘工具或其他恶意代码注入受害者的页面。CSP可以被配置为阻止此类DOM操作。但是，当前的CSP技术无法向浏览器应用用户提供有关恶意插件或扩展程序试图操作应用代码的通知。因此，浏览器应用的用户可能会在不知晓恶意插件的情况下继续使用浏览器应用。

发明内容

提供本发明内容以便以简化的形式对下面在具体实施方式中进一步描述的设计构思的选择进行介绍。本发明内容并不旨在确定要求保护的发明主题的关键特征或必要特征，也不旨在用于限制要求保护的发明主题的范围。另外，要求保护的发明主题不局限于解决本公开内容的任何部分中指出的任何或所有缺点的实现。

一种所公开的示例系统可以包括处理器以及耦合至所述处理器的存储器，所述存储器存储指令，所述指令在由所述处理器执行时使所述处理器：从执行应用的用户设备接收对网络应用内容的请求；在接收到对所述网络应用内容的请求后，向所述用户设备发送相应的网络应用内容数据和内容源规则，所述内容源规则包括网络应用用户标识符(ID)；从所述网站应用接收规则违反报告，所述报告与所述内容源规则相关联，并且包括对网络应用用户ID的指示；分析所述规则违反报告，以确定对所述应用的恶意修改的存在；以及至少部分基于分析所述规则违反报告的结果，向与网络应用用户ID相关联的用户设备发送用户警报，指示确定存在对所述应用的恶意修改。

一种所公开的示例方法可以包括：通过由用户设备执行的应用从网络应用接收网络应用数据，所述网络应用数据包括内容源规则，所述内容源规则具有对于所述网络应用的用户来说唯一的网络应用用户标识符(ID)；通过所述用户设备应用确定是否存在对违反所述内容源规则的指示；以及根据所述确定的结果：生成包括对所述网络应用用户ID的指示的规则违反报告，向数据处理系统发送所述规则违反报告，以供分析以确定对所述用户设备应用的恶意操作，以及在所述用户设备处从所述数据处理系统接收警报，所述警报指示与所述规则违反报告相对应的、所确定的对所述用户设备应用的恶意操作。

另一个所公开的系统可以包括：用于从执行应用的用户设备接收对网络应用内容的请求，并作为响应向所述设备发送相应的网络应用内容数据和内容源规则的单元，所述内容源规则包括网络应用用户ID；用于从所述用户设备应用接收与所述内容源规则相关联并包括对所述网络应用用户ID的指示的规则违反报告，以及分析所述规则违反报告以确定对所述用户设备应用的恶意修改的存在的单元；以及用于至少部分基于分析所述规则违反报告的结果，向与网络应用用户ID相关联的所述用户设备发送用户警报，指示确定存在对所述用户设备应用的恶意修改的单元。

附图说明

附图仅通过示例而非限制的方式描绘了根据本教示的一种或多种实现方式。在附图中，类似的附图标记指代相同或相似的元素。

图1是根据一个或多个方面的系统的一种示例性实现方式的高层次功能框图，该系统用于为网络应用用户提供针对用户的网站访问应用上的恶意修改活动(例如恶意插件活动)的基于受信任源规则的用户通知。

图2A-图2E示出了根据一个或多个方面在一种用于提供针对用户的网站访问应用上的恶意操作活动的基于受信任源规则的用户通知的方法的一个示例性过程中的图1系统的快照序列，在该过程中使用CSP和恶意浏览器插件活动作为例子。

图3是根据一个或多个方面的、在用于提供针对用户的网站访问应用上的恶意操作活动的基于受信任源规则的用户通知的方法中的一个过程中的示例性操作的时序图，在该过程中引用图1的系统实现以及CSP和恶意浏览器插件活动为作为例子。

图4是示出根据一个或多个方面的、在用于针对用户的网站访问应用上的恶意操作活动的基于受信任源规则的用户通知的方法的一种实现方式中的示例性操作的一个逻辑流的流程图，出于示例目的在该示例性操作中引用CSP和恶意浏览器插件活动。

图5是示出根据一个或多个方面的、由一个驻留服务器的系统实现执行的用于针对用户的网站访问应用上的恶意操作活动的基于受信任源规则的用户通知的示例性操作的一个逻辑流的流程图，出于示例目的该示例性操作引用CSP和恶意浏览器插件活动。

图6是可被配置为提供并依据根据本公开内容的各种过程和特征的示例通用可编程处理器设备的功能框图。

具体实施方式

在下面的具体描述中，通过举例的方式阐述了大量的具体细节以便提供对所公开的主题的透彻理解。对于普通技术人员而言，在阅读本说明书后将显而易见的是，无需这些细节也可以实施各个方面。

所公开的系统和方法除了其他技术特征之外，还可以向网站访问应用用户提供关于应用的恶意操作的通知。示例可以包括但不限于安装在浏览器应用上的恶意插件、扩展程序或其他附加件。特征可以包括但不限于用户易于理解的通知。实现可以包括但不限于通过改编和增强当前受信任源规则安全技术来提供通知，并且可以改编例如白名单类型的内容源策略技术，而不会引入兼容性问题。在采用内容安全策略(CSP)的改编的示例性实现中，特征可以包括不需要支持CSP的功能之外的浏览器功能。

实现可以包括将服务器侧并入网络应用的受信任源规则、网络应用用户标识符，并将网络应用用户标识符插入受信任源规则(例如CSP)中，服务器发送网站访问(例如，浏览器)应用。实现还可以包括受信任源规则的服务器侧配置，以便当由网站访问应用在客户端执行时，受信任源违反报告可以包括网络应用传送到访问(例如浏览器)应用的受信任源规则中包含的网络应用用户标识符。实现可以包括响应于对指示访问应用的恶意操纵的受信任源规则违反报告的分析，服务器侧向执行访问应用的用户设备发送通知或警告。这样的发送可以利用由受信任源规则违反报告携带的网络应用用户标识符来将通知定向到用户设备。实现还可以包括服务器侧向用户已用来访问网络应用的其他用户设备发送通知。

图1是系统100的示例性实现的高层次功能框图，该系统可以提供关于网站访问应用被恶意操纵的用户通知以及其他特征。示例可以包括但不限于安装在浏览器应用上的恶意插件。系统100可以包括用户互联网访问设备(UE)101，例如个人计算机、智能电话或其他终端用户互联网访问设备。UE 101可以包括用户接口(UI)102，例如鼠标、键盘或触摸屏(在图1中不单独可见)或其任意组合，以及显示器103。UE 101还可以包括(例如耦合到UI 102和显示器103)耦合到可以存储处理器可执行指令的存储器设备(在图1中不单独可见)的可编程处理器设备(在图1中不单独可见)，所述指令在被执行时可以配置处理设备以实现功能块，并执行其过程和操作。UE 101的功能块可以包括网站访问应用(例如浏览器应用104)，用于通过互联网105经由互联网服务提供商(ISP)106访问例如由第一服务器107托管的网络应用108。为了描述的目的，示例性操作的实例参考浏览器应用104。将理解的是：这是出于方便的目的，因为浏览器应用的各个特征不一定特定于所公开的构思，而是可以是示例性操作附带的，对于本领域技术人员来说是已知的，并且由已建立的标准专门定义，因此，可以省略详细描述。还应当理解，相关领域的普通技术人员在阅读本公开内容的全部内容之后，可以容易地使参考浏览器应用104描述的实践适应于非标准的，甚至是用于访问网站和网站应用的专有过程。因此，除非另有明确说明，或者从上下文中明确地指出具有不同的含义，否则“浏览器应用104”的所有实例将被理解为是意指并涵盖已知的浏览器技术以及其他技术，无论是用于访问网络应用和网站的标准还是非标准技术。

将理解的是，本公开内容中所使用的“服务器”可以被实现为虚拟资源，并且不必限于任何特定的技术、架构、对硬件的功能分配或硬件的任何特定的地理分布。例如，在一种实现中，系统100可以包括数据处理子系统109，该数据处理子系统109可以包括耦合到存储器资源111的可编程处理资源110。可编程处理资源110和存储器资源111可以例如由云计算系统(在附图中未明确可见)提供，该云计算系统可以包括由互联网105，或通过一个或多个专用网络互连的服务器单元的联网阵列(在附图中未明确可见)。存储器资源111可以由服务器单元的阵列的分布式存储器资源来提供，或者可以作为联网的多个大容量存储设备(在附图中未明确可见)来提供，或者可以是这两者的组合。存储器资源111可以存储计算机可执行指令(在图1中未单独可见)，该计算机可执行指令在由可编程处理资源110读取和执行时可以与其他逻辑单元或功能块(包括随后将在本公开内容中更详细描述的其他服务器块)结合使资源110实现第一服务器107。在另一种实现中，第一服务器107可以在存储于单个商业网络服务器单元(未单独可见)上的特定服务器可执行指令(例如可以从各种商业供应商容易地获得)上实现。

参照图1，浏览器应用104的示例性实现例如可以包括但不限于MicrosoftMozilla />Google />和Apple />中的任何一个。在一个或多个实现中，网络应用108可以例如经由用户名(在图1中不单独可见)和用户密码(在图1中不单独可见)提供到网络应用的用户登录。因此，将理解的是，如本文中所使用的，在“网络应用108”的上下文中的“网络应用”可以涵盖网站，包括具有结合了网络应用特征的无源网页的网站。

浏览器应用104的功能可以包括向第一服务器107发送对网络应用内容的请求(其可以包括但不限于网络页面内容)，然后例如在显示器103上接收和呈现该请求。为了避免混淆概念及其各个方面，将描述假定以超文本标记语言(HTML)编写网络应用内容的示例性实现。因此，图1示出了浏览器应用104，其具有例如在接收到网络应用108或浏览器应用104所访问的任何其他网络应用的新的网页(或刷新当前网页)时构造文档对象模型(DOM)112或其他基于树的对象模型的能力。DOM是针对HTML和XML文档所建立的编程接口，由“DOMLiving Standard-Last Updated August 8，2018”定义，其可以容易地例如在<<https://dom.spec.whatwg.org>>上获得。DOM将HTML或XML文档或页面表示为节点和对象，以帮助编程语言连接。根据本公开内容的系统和方法的实践未必需要以特定于此类实践的方式来配置DOM。因此，除了稍后通过示例性系统、方法或其操作与DOM 112的交互的描述之外，省略了对DOM 112的进一步详细描述。

如上所述，网络应用108可以被配置为包括网页(未单独标记)。假设HTML，则可以将HTML报头(在图1中未单独可见)与网络应用108的每个网页相关联。HTML报头的配置不一定特定于根据本公开内容的实践，因此，省略了进一步的详细描述。在一种实现中，每个网页可以包括内容源规则113(在下文中，为简洁起见，可替代地称为“CSR 113”)。CSR 113可以包括受信任源白名单(不单独可见)，该白名单可以指定浏览器应用104应将其视为可执行脚本的有效源的域。CSR 113的一种实现(包括受信任源白名单)可以是对内容安全策略(CSP)的改编，CSP由“Content Security Policy Level 2,W3C Recommendation,15December 2016”，万维网联盟(W3C)定义，其可以例如在<<https://www.w3.org/TR/CSP2/>>上容易地获得。在示例性实现中，除了网络应用用户ID逻辑单元114(图1中标记为“UID逻辑单元”)以及在后面的段落中更详细描述的相关的网络应用用户ID 115之外，使用CSR 113的功能进行改编还可以根据当前的CSP技术。由于已知当前的CSP技术的功能，因此除了与所描述的方面及其操作的附带对接之外，省略了对这些功能的进一步详细描述。

网络应用用户ID逻辑单元114可以被配置为：生成对用户来说唯一的网络应用用户ID 115(在图1中标记为“CSR UID”)，并将其包括在CSR 113中，以用于发送给浏览器应用104。网络应用用户ID逻辑单元114可以是一种虚拟逻辑单元，可以例如通过由存储器资源111存储的计算机可执行指令的一个或多个“模块”结合可编程处理资源110的计算资源来实现。网络应用用户ID逻辑单元114可以但不一定包括在第一服务器107的虚拟实现中。网络应用用户ID 115可以基于例如用户ID信息(例如图1示例标记为“IDI”)来生成，该IDI可以由例如浏览器应用104提供给第一服务器107。一个示例IDI可以是用户登录ID(在图1中未单独可见)或其一部分，浏览器应用104的用户可以将其作为与访问网络应用108相关联的登录过程的一部分而输入。如果使用登录过程，则其可以根据常规技术，并且不一定特定于根据所公开的系统和方法的实践。因此，省略了进一步的详细描述。网络应用用户ID逻辑单元114可以实现为例如可由第一服务器107的处理器资源(在图1中未单独可见)可执行的计算机可执行指令。

在一种实现中，网络应用用户ID逻辑单元114还可以被配置为生成或获取浏览器实例标识符BD 116，并保持BD 116与网络应用用户ID 115关联。BD 116可以是例如在浏览器应用104中生成并存储在与网络应用108域相关联(在图1中未单独可见)的cookie中的随机数。可以配置第一服务器107例如使得如果在网络应用108的初始化期间存在这样的cookie，则第一服务器107可以读取该cookie并将BD 116值附加到插入到CSR 113中的网络应用用户ID 115。随后在本公开内容中对与网络应用用户ID 115和可选BD 116有关的其他方面进行了更详细的描述。

参照图1，浏览器应用104的功能可以包括内容源规则违反检测/报告逻辑单元(以下为了简洁起见，缩写为“CSR RPT逻辑单元”)的实例化和性能，例如示出的CSR RPT逻辑单元117。在一种实现中，CSR RPT逻辑单元117的实例化和性能可以根据浏览器应用104接收的CSR 113。例如，CSR 113可以包括可由UE 101执行的用于实例化和执行CSR RPT逻辑单元117的处理器可执行指令。在一种实现中，用于实例化和执行CSR RPT逻辑单元117的CSR113指令可以配置CSR RPT逻辑单元117，以在检测到CSR违反时生成CSR违反报告(以下称为“CSR VRPT”)，以及将CSR VRPT发送到CSR违反报告分析逻辑单元，例如CSR违反报告分析引擎118(以下称为“CSRV引擎”118，在图1上标记为“CSRV ENG”118)。CSR 113可以被配置为对CSR RPT逻辑单元117进行实例化，以使CSR VRPT包括对网络应用用户ID 115的指示。该指示可以包括或可以是网络应用用户ID 115。CSR 113还可以被配置为对CSR RPT逻辑单元117进行实例化，使得CSR VRPT包括上述浏览器应用标识符BD 116的指示符，例如包括BD116。

如本公开内容中所使用的，“引擎”包括但不限于被配置为执行引擎的所描述的功能的虚拟处理资源。例如，CSRV引擎118可以由数据处理子系统109的资源，即由存储器资源111存储的特定计算机可执行指令来实现，使得可编程处理资源110的计算资源执行浏览器应用操纵检测，例如，恶意插件签名检测。

可以在第一服务器107之外的服务器(例如，第二服务器119)上托管或支持CSRV引擎118。将CSRV引擎118托管在除托管网络应用108的服务器之外的服务器上对于各种应用而言可能更可取。然而，这不是限制，并且根据本公开内容的系统和方法的预期实现可以在托管网络应用108的第一服务器107上或之中提供CSRV引擎118或等价物。

如上文针对第一服务器107所描述的，第二服务器119可以被实现为虚拟资源，并且不必限于任何特定的技术、架构、对硬件的功能分配或硬件的任何特定的地理分布。例如，第二服务器119可以由数据处理子系统109的资源来实现。该实现可以包括存储在存储器资源111中的特定计算机可执行指令与可编程处理资源110的计算资源的结合。在另一种实现中，第二服务器119可以实现为存储于单个商业网络服务器单元(未单独可见)上的特定服务器可执行指令，例如可以从各种商业供应商容易地获得。网络服务器单元可以与第一服务器107的网络服务器单元实现分开或相同。

CSRV引擎118可以被配置为：在CSR VRPT中检测签名或关于恶意插件的存在或活动的其他指示符。CSRV引擎118可以被配置为：例如从插件代码正试图从中加载被阻止的内容的域中确定签名。关于CSR RPT逻辑单元117将CSR VRPT寻址到CSRV引擎118，在一方面，由浏览器应用104接收的CSR 113可以包括引擎118URL。浏览器应用104接收到的CSR113还可以被配置为实例化并执行CSR RPT逻辑单元117，以使CSP VRPT携带网络应用用户ID115。可选地，可以配置CSR RPT逻辑单元117使得CSR VRPT携带BD 116。

在一个示例性一般实现中，CSRV引擎118可以被配置为：至少部分基于对CSR VRPT进行分析的肯定结果(其中“肯定”意指存在恶意插件签名)来发起到托管即时报告网络浏览器的用户设备(例如执行浏览器应用104的UE 101)的恶意插件警报的通信。可以将恶意插件警报配置为使得在由UE 101接收后，在显示器103上生成视觉警报，或从音频源(图1中未单独可见)发出音频警报，或两者兼而有之。一种示例性视觉警报在图2E上被示为项目201，将在随后对其进行更详细地描述。

系统100的实现还可以包括用户登录实例记录120(以下称为“LGR”120，并且在图1上相应地标记)，其被配置为存储所有用户设备(例如，智能电话、平板设备等)的标识信息，与网络应用用户ID 115相关联的用户已通过该标识信息登录到应用108中。除了向托管即时报告浏览器(例如，浏览器应用104)的用户设备发送浏览器应用恶意操纵警告(例如，恶意插件警报通知)之外，该实现还可以提供向出现在LGR 120中的其他用户设备(即，与登录到应用108或以其他方式使用应用108的实例相关联的其他设备)发送相同或相似的警告。为了示例的目的，图1示出了由第一服务器107维护的LGR 120。在一方面，如本公开内容中随后更详细地描述的，其他系统100资源可以访问LGR 120。

在一个实现中，CSRV引擎118可以被配置为通过多步或间接路由向用户设备101发送恶意插件警告。这种通信的一个示例可以包括从第二服务器119向图示为由第三服务器122托管或支持的恶意插件用户通知器模块或逻辑单元121(在图1中标记为“用户WN逻辑单元121”)发送中间警告(在图1中未明确可见)。用户WN逻辑单元121和第三服务器122可以被配置为：通过向支持报告浏览器应用104的用户设备101发送恶意插件警告来响应中间警告。这样的通信可以例如基于网络应用用户ID 115来识别用户设备101。可选地，在其中CSR113包括上述浏览器应用标识符BD 116并且CSR 113被配置以使得CSR RPT逻辑单元117在CSRV RPT中包括BD 116的实现中，用户WN逻辑单元121和第三服务器122可以被配置为使用BD 116向浏览器应用104发送警告。在一方面，用户WN逻辑单元121和CSRV引擎118可以被配置为还向出现在LGR 120中作为登录实例的用户设备发送上述警告或类似警告。在一种实现中，第三服务器122可以被配置为访问第一服务器107上的LGR 120(如项目108和120之间的虚线所示)，或者维护LGR 120的本地副本。

实现不限于CSRV引擎118使用上述多段通信来发送恶意插件警告。在一种实现中，例如，CSRV引擎118或第二服务器119或这二者可以被配置为：向支持报告浏览器应用104的用户设备101直接发送恶意插件警告。在一方面，CSRV引擎118可以被配置为：还向出现在LGR 120中的用户设备直接发送恶意插件警告。

如上文针对第一服务器107和第二服务器119所描述的，第三服务器122可以被实现为虚拟资源，并且不必限于任何特定的技术、架构、对硬件的功能分配或硬件的任何特定的地理分布。例如，第三服务器122可以由数据处理子系统109的资源(例如，由存储在存储器资源111中的特定计算机可执行指令结合可编程处理资源110的计算资源)来实现。在另一种实现中，第三服务器122可以被实现为存储于单个商业网络服务器单元(未单独可见)上的特定服务器可执行指令，例如可以从各种商业供应商容易地获得。网络服务器单元可以与第一服务器107或第二服务器119或这二者的网络服务器单元实现分开或相同。

在一种实现中，网络应用108可以由数据处理子系统109托管，并且应用用户ID逻辑单元114、CSRV引擎118和用户WN逻辑单元121在没有任何个体服务器实体(例如在没有第一服务器107、第二服务器119和第三服务器122中的一个或多个)的情况下都可以由数据处理子系统109提供。

系统100上的一个非限制性示例过程可以包括：浏览器应用104的用户登录到由第一服务器107托管的网络应用108中。然后，网络应用用户ID逻辑单元114可以基于用户的登录名生成网络应用用户ID 115，将其插入CSR 113的用户特定版本中，并将其供应给浏览器应用104。然后，浏览器应用104可以根据所接收的CSR 113来实现CSR RPT逻辑单元117。如果恶意扩展程序试图操纵浏览器应用104从108构建受害者应用页面的DOM，则由CSR 113建立的规则可以阻止该企图，并向例如第二服务器119支持的CSRV引擎118发送CSR VRPT报告。然后，为了恶意插件的签名，CSRV引擎118对CSR VRPT进行分析。如果CSRV引擎118分析找到匹配，则第二服务器119可以通过使用CSR VRPT URL路径中的网络应用用户ID 115来识别实际的应用用户(即，浏览器应用104的用户)。第二服务器119可以利用第三服务器122，更具体地说，第三服务器122的用户WN逻辑单元121作为通知服务器，以向应用108的用户传送关于恶意活动的警告，例如，WN。然后，在用户的浏览器应用104中(例如，在显示器103上)会弹出提示语或等效警告。

图2A-图2E示出了根据一个或多个方面的、图1系统100在用于提供针对用户的网站访问应用上的恶意操纵动作的基于受信任源规则的用户通知的方法的一个示例性过程中的快照序列，其中使用CSP和恶意浏览器插件活动为例。

对于每个快照，以实线示出的特征可以更直接地涉及所描述的操作。

参照图2A的快照200A，示例性操作可以包括浏览器应用104向托管网络应用108的第一服务器107发送标记为“IDI”的用户标识信息和标记为“PG RQST”的页面请求。如图所示，IDI和页面请求可以通过ISP 106传递并通过互联网105传播到第一服务器107。

参照图2B的快照200B，第一服务器107响应于接收到IDI和PG RQST，可以基于IDI来更新网络应用用户ID 115，并向浏览器应用104发送所请求的网络应用108的应用内容，连同CSR 113和更新的网络应用用户ID 115(标记为“CSP UID 115(ID1)”)。在一种实现中，CSR 113可以包括CSRV引擎118的URL(标记为“CVRS URL”)。CSR 113还可以包括浏览器标识符BD 116。浏览器应用104可以响应于接收到所请求的网络应用108的页面或应用内容以及CSR 113来构建DOM 112，呈现所接收的页面或应用内容数据，并根据所接收的CSR 113来配置CSR RPT逻辑单元117。

在呈现期间，所接收的CSR 113可以阻止浏览器应用104接收或执行来自不在CSR113白名单上的源的脚本。为了描述的目的，将假设攻击者在进行呈现之前或进行呈现期间在浏览器应用104上安装了一种试图操纵所构建的DOM 112的类型的恶意插件。因此，将假设CSR RPT逻辑单元117检测到该操纵并作为响应生成了CSR违反报告，例如CSR VRPT，并参照图2C快照200C，将其发送到CSRV引擎118的URL。在一方面，CSR VRPT可以包括与访问了网络应用108并发送了PG RQST的浏览器应用104相关联的用户的网络应用用户ID 115(在图2C上标记为“UID”)。如上所述，CSR RPT逻辑单元117可以从图2B快照200B中接收的CSR 113获得CSRV引擎118的URL和网络应用用户ID 115。可选地，CSP VRPT可以包括浏览器标识符BD 116，CSR RPT逻辑单元117可以从所接收的CSR 113获得该标识符。

继续图2A-图2E的快照的描述，在CSRV引擎118接收到由浏览器应用104CSR RPT逻辑单元117发送的、如图2C所示的CSP VRPT时，CSRV引擎118可以向CSP VRPT应用恶意操纵签名分析或过程。恶意操纵签名分析或过程可以被配置作为例如恶意插件签名检测分析或过程。出于描述的目的，假设引擎118检测到恶意操纵(例如，插件)签名，则引擎118可以传送去往或发往托管或以其他方式执行浏览器应用104的用户设备101的警告(在图2A-图2E中未明确可见)。例如，可以使用由CSR VRPT携带的网络应用用户ID 115来执行这种传送。可选地，去往或发往用户设备101的警告的传送可以利用浏览器标识符BD 116，如上所述，CSR RPT逻辑单元117可以被配置为将其包括在CSP VRPT中。在系统100的实现中，传送可以是间接过程，其可以包括CSRV引擎118向用户WN逻辑单元121发送中间警告IWN，如图2D的快照200D所示；以及作为响应，逻辑单元121向浏览器应用104发送恶意操纵警告(例如恶意插件警告WN)，如图2E的快照200E所示。还由图2E的快照200E所示，浏览器应用104或UE 101的其他资源可以通过在显示器103上显示警告201来响应WN。

参照图1和图2A-图2E，可以理解：所公开的系统可以包括：用于从执行浏览器应用的设备接收对网络应用内容的请求，以及作为响应向该设备发送相应的网络应用内容数据和内容源规则的单元，该内容源规则包括网络应用用户ID。将理解的是：所公开的系统可以另外包括用于从浏览器应用接收与内容源规则相关联并包括对网络应用用户ID的指示的规则违反报告，以及分析该规则违反报告以确定对浏览器应用的恶意修改的存在的单元。将理解的是：所公开的系统可以进一步结合包括用于至少部分基于分析规则违反报告的结果，向与网络应用用户ID相关联的用户设备发送用户警报，以指示确定存在对浏览器应用的恶意修改的单元。在一方面，内容源规则可以包括使浏览器应用在规则违反报告中包括浏览器标识符的指令，并且向用户设备发送用户警报是至少部分基于所接收的规则违反报告中的浏览器标识符的。此外，内容源规则可以包括在内容安全策略中。

图3是根据一个或多个方面的、在用于提供针对用户的网站访问应用上的恶意操纵活动的基于受信任源规则的用户通知的方法中的一个过程中的示例性操作的时序图，该过程引用图1的系统100以及CSP和恶意浏览器插件活动为例。

为了方便读者并避免与并非特定于所公开概念的描述相混淆，将参考图1的系统100来描述过程300中的示例性操作。该过程的示例性实例可以开始于301处，在此处用户浏览器应用104可以向第一服务器107发送用于访问其网络应用108的登录通信，以及用于接收网络应用或网络页面数据的页面请求。通信的登录方面可以包括用户标识IDI。作为响应，第一服务器107可以基于用户特定的IDI来更新其CSR 113的网络应用用户ID 115，然后在302处向浏览器应用104发送带有CSR 113的副本的HTML报头。CSR 113的副本可以包括更新的网络应用用户ID 115，连同所请求的网络页面或网络应用数据。CSR 113的副本还可以包括分析CSR违反报告的系统资源的URL，在此示例中，其被假定为第二服务器119支持的CSRV引擎118。

当在302处接收到通信时，浏览器应用104可以继续构建用于网页数据或网络应用数据的DOM(例如，图1DOM 112)并呈现该页面，例如用于在UE显示器103上显示。浏览器应用104还可以至少部分基于CSR 113来对CSR RPT逻辑单元117进行实例化，以确定是否违反了CSR 113，并且如果违反了，则向CSRV引擎118发送上述CSR VRPT。为了描述的目的，该实例将假设恶意插件(在图3中可见但未单独编号)已将其自身安装在用户的浏览器应用104上，并且例如在呈现过程期间已试图操纵DOM。因此，在304处，CSR RPT逻辑单元117可以检测到CSR违反，并且在305处，可以向CSRV引擎118发送CSR VRPT。作为响应，CSRV引擎118可以在306处分析CSR VRPT，以确定CSR违反是实际上由于还是可能由于恶意插件对DOM的操纵。当前描述的过程300的实例假设了这种DOM操纵，因此，306处的分析具有肯定的结果。因此，CSRV引擎118可以在307处向用户通知逻辑单元121发送中间通知，例如图2D IWN，在该示例中，第三服务器122支持该中间通知。作为响应，通知逻辑单元121可以在308处向用户的浏览器应用104发送针对恶意插件的通知。作为响应，浏览器应用104可以例如通过图2E所示的恶意插件警告WN来警示用户。另外，在308处的发送之后或与之同时，通知逻辑单元121可以向在LGR 120中表现为登录实例的所有设备发送(在图3中未明确可见)恶意插件警告。

图4是示出根据一个或多个方面的、在用于针对用户的网站访问应用上的恶意操纵活动的基于受信任源规则的用户通知的方法的一种实现方式中的示例性操作的一个逻辑流400的流程图，该实现方式出于示例目的引用CSP和恶意浏览器插件活动。

流程400的示例性实例可以在任意起点401处开始，并进行到402，在此用户的浏览器应用(例如，图1浏览器应用104)可以向网络应用发送在图4上标记为“IDI”的用户标识信息，以及在图4上标记为“PG RQST”的用于接收网页数据的页面请求。在一种实现中，IDI可以是显式的用户ID，例如上述登录用户ID。在另一种实现中，IDI可以由网站或网络应用(例如，上述网络应用108)从PG RQST或从网络浏览器传达到网络应用的其他信息中提取。将理解的是，在这种情况下，“由网站提取”可以涵盖例如由网络应用或由托管网络应用的服务器提取或确定的动作。

再次参考图4，流程400可以从402进行到403，在此网络应用可以基于IDI来更新与所请求的网页或所请求的网络应用数据相关联的CSR以包括用户标识符，例如，可以使用上述网络应用用户ID 115来更新CSR 113。然后，流程400可以进行到404，其中，响应于在402处接收到的页面请求，网站可以将所请求的网页或网络应用数据发送到浏览器应用104，其中HTML报头带有具有更新的网络应用用户ID 115的CSR 113的副本。CSR 113的副本还可以包括系统资源的URL，例如由第二服务器119支持的图1CSRV引擎118，其对CSR违反报告进行分析。或者，实现CSR引擎118的系统资源可以是托管网络应用108的服务器，例如第一服务器107。

参照图4，流程400可以从404进行到405，在此浏览器应用可以呈现网页，例如，用于在例如图1的UE显示器103的设备上显示。包括呈现网页或网络应用数据在内，浏览器应用104可以构建DOM，例如，图1DOM 112。流程400然后可以进行到406并且应用具有至少部分基于所接收的CSR 113的检测参数的CSR违反检测过程，以及然后进行到流程决策框407以根据406分析的结果进行流程路由。如果406处的分析未识别到CSR违反，则流程400可从框407的“否”分支进行到408处的过程结束。如果在406处的分析识别到CSR违反，则流程400可以从框407的“是”分支进行到409，在此处可以应用操作来生成和发送CSR违反报告，例如上述的CSR VRPT。409处的操作可以根据系统的CSR违反报告分析资源的URL(例如，图1CSRV引擎118的URL)来设置CSR违反报告的目的地，如上所述，该URL可以包括在CSR 113中。

参照图4，流程400可以从409进行到410，在此系统的CSR违反报告分析资源(例如第二服务器119支持的图1CSRV引擎118)可以分析违反报告以确定CSR违反实际上是由于还是可能由于恶意插件操纵了DOM。如果410分析的结果是否定的，则流程400可以从流程决策框411的“否”分支进行到408处的过程结束。如果410分析的结果是肯定的，则流程400可以从流程决策框411的“是”分支进行到412，在此处可以应用操作以向网络浏览器发送恶意插件通知，用于在413处以例如如图2E所示的在显示器103上的方式201显示在用户设备上。在一方面，在412处的操作可以包括从执行了410处的分析的系统资源到网络浏览器的直接传输(在图4中未单独可见)，例如，直接从图1的第二服务器119到支持浏览器应用104的用户设备101。在另一方面，在412处的操作可包括414处的从在410处执行分析的系统资源到网络浏览器恶意插件通知资源(例如，被示出为由第三服务器122支持的图1用户WN逻辑单元121)的中间传输(例如，图2D的IWN传输)，用于415处的向用户设备101的恶意插件通知(例如，图2E的传输WN)的随后传输。在一方面，流程400可以从410进行到416，在此操作可以访问LGR 120，然后到417，在此可以应用操作以向在LGR 120中表现为登录实例的一个或多个设备发送另一恶意插件警告。

图5是示出根据一个或多个方面的、由一个驻留服务器的系统实现执行的用于针对用户的网站访问应用上的恶意操纵活动的基于受信任源规则的用户通知的示例性操作的一个逻辑流500的流程图，该示例性操作出于示例目的引用CSP和恶意浏览器插件活动的。流程500的示例性实例可以在任意起点501处开始并进行到502，在该处托管网站的系统第一服务器可以从用户的网络浏览器接收用户标识信息和页面请求(在图5上标记为“页面RQST”)。图1的托管网络应用108的第一服务器107可以提供502的一种示例性实现，该实现从浏览器应用104接收用户登录或其他标识信息以及页面请求。流程500可以从502进行到503，在此系统第一服务器可以基于在502处接收到的用户标识信息来更新所请求页面的CSR，以包括用户标识符，例如图1的网络应用用户ID 115。在503处的操作还可以包括第一服务器107向浏览器应用104发送所请求的页面数据连同包括网络应用用户ID并指示用于分析CSR违反报告的系统资源的URL(例如，CSRV引擎118的URL)的CSR。

参照图5，流程500的实例可以从503进行到504，其可以是等待或后台中断状态。504处的操作可以例如由第二服务器119支持的用于分析CSR违反报告的系统资源(例如图1的CSRV引擎118)来执行。504处的此类操作可包括超时(在图5中未单独可见)，如果在未接收到CSP违反报告的情况下达到了到期，则该到期可导致流程500从504的“否”分支进行到505处的过程结束。在一方面，在用于分析CSP违反报告的系统资源(例如，图1的CSRV引擎118)在这样的到期之前接收到CSR违反报告时，流程500可以从504的“是”分支进行到506，在此该资源可以应用恶意插件签名(在图5中缩写为“MPS”)分析。如果在506处的MPS检测过程产生否定结果，则流程500可以进行到505处的过程结束。如果在506处的MPS检测过程具有肯定结果，则流程500可以从框507的“是”分支进行到508，在此可以应用操作以使CSRV引擎118(例如，第二服务器119所支持的)向用户WN逻辑单元121a发送通知或指令(例如，图2D的快照200D WNI)，以便向与浏览器应用相关联的用户设备(例如，支持浏览器应用104的图1UE 101)发送恶意插件警告。流程500然后可以从508进行到509，在此WN逻辑单元121(例如第三服务器122所支持的)可以向UE 101发送恶意操纵浏览器应用(例如，通过恶意插件)的警告或通知(例如，图2E的WN)，然后进行到505处的过程结束。在一方面，流程500可以从509进行到510，在此操作可以访问LGR 120并向在LGR 120中表现为登录实例的一个或多个设备发送另一恶意插件警告。

图6是处理器600的功能框图，处理器600被配置为执行根据本公开内容的系统和方法中的操作和过程。将理解的是，图6所示的功能框是逻辑框，并且不一定对应于具体硬件。

参照图6，处理器600可以包括通过总线604耦合的数据处理器601、通用存储器602和指令存储器603。指令存储器603可以包括有形介质，该有形介质可检索地存储计算机可读指令，该计算机可读指令在由数据处理器601执行时使处理器执行根据图3-图5的流图以及参考图1和图2A-图2E描述的操作。处理器600可以包括到本地网络606的通信接口605，该本地网络可以连接到本地服务器607。本地网络606还可以通过互联网服务提供商(ISP)互联网608连接到互联网609。本地网络606可以通过互联网访问远程服务器610。处理器600可以包括显示器611。在一方面，显示器611可以具有提供电子表格和GUI行编辑器的同时显示以及可用性的足够的区域或其他能力。处理器600可以包括输入设备612，例如，触摸屏、鼠标、键盘或语音接口。

尽管前文已经描述了被认为是最佳模式的示例和/或其他示例，但是应当理解，可以在其中进行各种修改，并且可以以各种形式和示例来实现本文公开的主题，并且这些教导可以应用于大量应用中，本文中仅描述了其中的一些。所附权利要求书旨在要求保护落入本教导的真实范围内的任何和所有应用、修改和变化。

除非另有说明，否则在本说明书中，包括在所附权利要求书中阐述的所有测量结果、值、额定值、位置、大小、尺寸和其他规格都是近似的，而不是精确的。它们旨在具有与它们所涉及的功能以及它们所相关的领域中的习惯相一致的合理范围。

保护范围仅受所附权利要求书的限制。当根据本说明书和随后的起诉历史进行解释时，该范围旨在并且应被尽可能宽泛地解释为与权利要求中使用的语言的普通含义相一致的范围，并且涵盖所有结构和功能上的等价物。尽管如此，所有权利要求均不旨在包含不满足专利法第101、102或103条要求的主题，也不应以这种方式解释它们。特此不要求保护对此类主题的任何非预期的包含。

除以上所述外，任何被阐述或说明的内容不旨在或不应被解释为导致对公众来说任何组成部分、步骤、特征、对象、益处、优势或等效内容是专用的，无论权利要求中是否对其有所记载。

将理解的是，除非本文另外阐述了特定含义，否则本文使用的术语和表述具有针对其相应的各自探寻和研究领域的与此类术语和表述相一致的普通含义。

诸如第一和第二等等的关系术语可以仅用于区分一个实体或动作与另一实体或动作，而不一定要求或暗示在这些实体或动作之间的任何这样的第一、第二关系或顺序。术语“包括(comprises)”、“包括有(comprising)”及其任何其他变体旨在覆盖非排他性包括(inclusion)，使得包括一系列元素的过程、方法、物品或装置不仅仅包括那些元素，而是可以包括未明确列出的或者此类过程、方法、物品或装置所固有的其他元素。在没有其他限制的情况下，前面带有“一”或“一个”的元素并不排除在包括该元素的过程、方法、物品或装置中存在另外的相同元素。

提供了本公开内容的摘要以使得读者能够快速识别技术公开内容的本质。基于其将不会被用来解释或限制权利要求的范围或含义的理解来提交摘要。此外，在前述具体实施方式中，可以看到：出于精简本公开内容的目的，在各个示例中将各个特征组合在一起。本公开内容的方法不应该被解释为反映以下意图：任何权利要求需要比权利要求明确阐述的特征更多的特征。而是如同后面的权利要求所反映的，发明主题在于少于单个所公开的示例的所有特征。因此在每项权利要求自身作为单独要求保护的主题的前提下，在此将以下权利要求并入具体实施方式。

Claims (15)

1.一种数据处理系统，包括：

处理器；以及

存储器，耦合到所述处理器，所述存储器用于存储指令，所述指令在由所述处理器执行时使所述数据处理系统：

从执行浏览器应用的第一设备接收(i)对网络应用内容的请求以及(ii)对于使用所述浏览器应用访问所述网络应用内容的用户来说唯一的标识信息；

响应于接收到所述标识信息，生成对于所述用户来说唯一的网络应用用户标识符；

向所述第一设备发送网络应用内容数据，所述网络应用内容数据包括(i)所请求的网络应用内容以及(ii)包括受信任内容源列表和所述网络应用用户标识符的受信任内容源规则；

从所述第一设备接收由所述第一设备基于所述受信任内容源列表生成的规则违反报告，所述规则违反报告包括所述网络应用用户标识符；

基于所接收的规则违反报告，确定在所述第一设备处发生了对所述浏览器应用的恶意修改；以及

响应于确定在所述第一设备处发生了对所述浏览器应用的恶意修改，向与所述网络应用用户标识符相关联的一个或多个设备发送警报，所述警报指示发生了对所述浏览器应用的恶意修改。

2.根据权利要求1所述的数据处理系统，其中，所述规则违反报告包括：对所述网络应用内容数据的树结构对象模型的操纵的指示。

3.根据权利要求1所述的数据处理系统，其中：

所述受信任内容源规则是利用内容安全策略来实现的，并且

所述指令在由所述处理器执行时还使所述数据处理系统：

配置所述内容安全策略以包括针对所述浏览器应用的指令，以便在所述规则违反报告中包括对所述网络应用用户标识符的指示。

4.根据权利要求1所述的数据处理系统，其中：

所述标识信息包括对于访问所述网络应用内容的所述用户来说唯一的登录标识符，并且

所述网络应用用户标识符是基于所述登录标识符生成的。

5.根据权利要求4所述的系统，其中，所述指令在由所述处理器执行时还使所述数据处理系统：

维护登录实例记录，并且存储标识与所述网络应用用户标识符相关联的所述一个或多个设备的信息，其中，所述警报还指示以下风险：在与所述用户相关联的所述一个或多个设备处操作的至少一个浏览器应用具有相关恶意修改的风险。

6.根据权利要求1所述的数据处理系统，其中，所述指令在由所述处理器执行时还使所述数据处理系统：

从所述第一设备接收对于所述浏览器应用来说唯一的浏览器应用标识符；以及

将所述浏览器应用标识符包括在所述受信任内容源规则中。

7.根据权利要求6所述的数据处理系统，其中：

所述规则违反报告包括所述浏览器应用标识符，并且

所述指令在由所述处理器执行时还使所述数据处理系统：

基于包括在所述规则违反报告中的所述浏览器应用标识符，向所述第一设备发送所述警报。

8.一种用于检测对浏览器应用的恶意修改的方法，包括：

从执行浏览器应用的第一设备接收(i)对网络应用内容的请求以及(ii)对于使用所述浏览器应用访问所述网络应用内容的用户来说唯一的标识信息；

响应于接收到所述标识信息，生成对于所述用户来说唯一的网络应用用户标识符；

向所述第一设备发送网络应用内容数据，所述网络应用内容数据包括(i)所请求的网络应用内容以及(ii)包括受信任内容源列表和所述网络应用用户标识符的受信任内容源规则；

从所述第一设备接收由所述第一设备基于所述受信任内容源列表生成的规则违反报告，所述规则违反报告包括所述网络应用用户标识符；

基于所接收的规则违反报告，确定在所述第一设备处发生了对所述浏览器应用的恶意修改；以及

响应于确定在所述第一设备处发生了对所述浏览器应用的恶意修改，向与所述网络应用用户标识符相关联的一个或多个设备发送警报，所述警报指示发生了对所述浏览器应用的恶意修改。

9.根据权利要求8所述的方法，其中，所述规则违反报告包括：对所述网络应用内容数据的树结构对象模型的操纵的指示。

10.根据权利要求8所述的方法，其中：

所述受信任内容源规则是利用内容安全策略来实现的，并且

所述方法还包括：

配置所述内容安全策略以包括针对所述浏览器应用的指令，以便在所述规则违反报告中包括对所述网络应用用户标识符的指示。

11.根据权利要求8所述的方法，其中，对所述浏览器应用的恶意修改包括在所述浏览器应用上安装恶意插件。

12.根据权利要求8所述的方法，还包括：

从所述第一设备接收对于所述浏览器应用来说唯一的浏览器应用标识符；以及

将所述浏览器应用标识符包括在所述受信任内容源规则中。

13.根据权利要求12所述的方法，其中：

所述规则违反报告包括所述浏览器应用标识符，并且

所述方法还包括：

基于包括在所述规则违反报告中的所述浏览器应用标识符，向所述第一设备发送所述警报。

14.根据权利要求8所述的方法，其中：

所述标识信息包括对于访问所述网络应用内容的所述用户来说唯一的登录标识符，并且

所述网络应用用户标识符是基于所述登录标识符生成的。

15.一种包含指令的计算机可读介质，所述指令在由处理器执行时使计算机执行以下功能：

从执行浏览器应用的第一设备接收(i)对网络应用内容的请求以及(ii)对于使用所述浏览器应用访问所述网络应用内容的用户来说唯一的标识信息；

响应于接收到所述标识信息，生成对于所述用户来说唯一的网络应用用户标识符；

向所述第一设备发送网络应用内容数据，所述网络应用内容数据包括(i)所请求的网络应用内容以及(ii)包括受信任内容源列表和所述网络应用用户标识符的受信任内容源规则；

从所述第一设备接收由所述第一设备基于所述受信任内容源列表生成的规则违反报告，所述规则违反报告包括所述网络应用用户标识符；

基于所接收的规则违反报告，确定在所述第一设备处发生了对所述浏览器应用的恶意修改；以及

响应于确定在所述第一设备处发生了对所述浏览器应用的恶意修改，向与所述网络应用用户标识符相关联的一个或多个设备发送警报，所述警报指示发生了对所述浏览器应用的恶意修改。