一种浏览器的防护方法及装置与流程

本申请涉及计算机安全技术领域，尤其涉及一种浏览器的防护方法及装置。

背景技术：

随着互联网的蓬勃发展，人们越来越多的使用网络来处理各种业务，在这个过程中浏览器通常作为网页浏览、搜索等业务处理的常用工具。在浏览器的使用过程中出现了众多的扩展组件(extension)，这些扩展组件通过调用浏览器中的应用程序编程接口(applicationprogramminginterface，api)来增加或增强浏览器的某项功能。然而，浏览器扩展组件在受到广泛使用的同时，出现了众多非法扩展组件，这些非法扩展组件通常会造成用户的浏览器崩溃甚至用户个人信息泄露。

现有技术主要通过创建的扩展组件库来判断扩展组件的安全性，扩展组件库通常用于记录扩展组件的标识(扩展组件名称、版本信息等)以及扩展组件对应的安全描述信息。浏览器接收到扩展组件的加载请求后，将该扩展组件的标识和扩展组件库中所记录的内容进行比对，然后根据比对的结果进行相应的处理。但是在实际应用的过程中，一些非法扩展组件通常会通过更换标识的形式，得以绕过扩展组件库所记录的内容从而实现加载。当非法扩展组件更换标识实现加载之后，如何对浏览器进行防护是业界需要解决的问题。

技术实现要素：

本申请实施例提供一种浏览器的防护方法及装置，用于解决现有技术中，当非法扩展组件更换标识实现加载之后，无法实现浏览器防护的问题。

本申请实施例提供一种浏览器的防护方法，包括：

启动浏览器主程序中的安全审查引擎；

当接收当前扩展组件对当前防护点的操作请求时，通过所述安全审查引擎调用所述浏览器的配置文件，所述配置文件中包含所述当前扩展组件对各防护点操作权限的信息，所述防护点为所述浏览器中的指点设置点；

根据所述配置文件，确定所述当前扩展组件对所述当前防护点的操作权限，根据所确定的所述操作权限对所述浏览器进行防护。

优选的，所述配置文件中还包含扩展组件库，所述扩展组件库用于记录所述扩展组件库中各扩展组件的安全性，所述方法还包括：

当所述当前扩展组件为所述扩展组件库中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为对应的操作权限。

优选的，所述扩展组件库具体包括白名单；则，当所述当前扩展组件为所述扩展组件库中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为对应的操作权限具体包括：当所述当前扩展组件为所述白名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为禁止。

优选的，所述扩展组件库具体包括黑名单；则，当所述当前扩展组件为所述扩展组件库中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为对应的操作权限具体包括：当所述当前扩展组件为所述黑名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为允许。

优选的，所述根据所确定的所述操作权限对所述浏览器进行防护具体包括：

当所确定的所述操作权限为允许时，允许所述当前扩展组件对所述当前防护点进行操作；和/或，

当所确定的所述操作权限为禁止时，禁止所述当前扩展组件对所述当前防护点进行操作。

本申请实施例还提供一种浏览器的防护装置，包括：

启动单元、调用单元和防护单元，其中：

启动单元，用于启动浏览器主程序中的安全审查引擎；

调用单元，用于当接收当前扩展组件对当前防护点的操作请求时，通过所述安全审查引擎调用所述浏览器的配置文件，所述配置文件中包含所述当前扩展组件对各防护点操作权限的信息，所述防护点为所述浏览器中的指点设置点；

防护单元，用于根据所述配置文件，确定所述当前扩展组件对所述当前防护点的操作权限，根据所确定的所述操作权限对所述浏览器进行防护。

优选的，所述配置文件中还包含扩展组件库，所述扩展组件库用于记录所述扩展组件库中各扩展组件的安全性，所述装置还包括：设置单元，用于当所述当前扩展组件为所述扩展组件库中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为对应的操作权限。

优选的，所述扩展组件库具体包括白名单，所述设置单元具体包括第一设置单元，用于当所述当前扩展组件为所述白名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为禁止。

优选的，所述扩展组件库具体包括黑名单，所述设置单元具体包括第二设置单元，用于当所述当前扩展组件为所述黑名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为允许。

优选的，所述防护单元包括第一防护单元，用于当所确定的所述操作权限为允许时，允许所述当前扩展组件对所述当前防护点进行操作；和/或，

第二防护单元，用于当所确定的所述操作权限为禁止时，禁止所述当前扩展组件对所述当前防护点进行操作。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

由于在接收当前扩展组件对当前防护点的操作请求时，通过安全审查引擎调用浏览器的配置文件，并且配置文件中包含当前扩展对各防护点操作权限的信息，因此确定了当前扩展对当前防护点的操作权限，根据该操作权限实现了 浏览器的防护。从而解决了现有技术中，当非法扩展组件更换标识实现加载之后，无法对浏览器进行防护的问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例1提供的一种浏览器的防护方法的具体实现流程示意图；

图2为本申请实施例2提供的另一种浏览器的防护方法的具体实现流程示意图；

图3为本申请实施例3提供的一种浏览器的防护装置的具体结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

实施例1

实施例1提供了一种浏览器的防护方法，用于解决现有技术中当非法扩展组件更换标识实现加载之后，无法实现浏览器防护的问题。该方法的具体流程示意图如图1所示，包括下述步骤：

步骤s11：启动浏览器中的安全审查引擎。

浏览器主程序是指浏览器基本的被独立提供出来的程序，它能够调用浏览 器子程序，而不被任何浏览器子程序所调用。因此浏览器主程序是该浏览器的中心部分。

在这里，安全审查引擎是指浏览器主程序中专门用于审查所要加载的扩展组件的安全性的引擎。在实际应用中，浏览器的安全审查引擎通常可以是浏览器主程序下的一个独立的模块，该独立模块的功能是对扩展组件安全性进行审查。

通常可以是在浏览器主程序启动时，启动安全审查引擎，当然如果在进行测试等条件下，通过其他方式也可以启动该安全审查引擎。

步骤s12：当接收当前扩展组件对当前防护点的操作请求时，通过所述安全审查引擎调用所述浏览器的配置文件，所述配置文件中包含所述当前扩展组件对各防护点操作权限的信息，所述防护点为所述浏览器中的指点设置点。

扩展组件通常是工作在浏览器的层面上，使用html和javascript语言进行开发，用来增加或增强浏览器的某项功能。

通常，浏览器的配置文件是指用户在使用该浏览器时，该浏览器为该用户所要加载所需环境的设置和文件的集合。在这里，配置文件中包含所述当前扩展组件对各防护点操作权限的信息，防护点为该浏览器中的指点设置点，设置点是指该浏览器中参数能够被扩展组件修改的点。在实际应用中，浏览器可以根据需要有多个防护点，这些防护点通常都是非法扩展组件的利用点和展现点，因此可以认为防护点是该浏览器需要重点保护的点。可以根据具体情况指定某些设置点为防护点，例如当非法扩展组件较多的对浏览器的某一设置点的参数进行修改时，可以将该设置点指定为防护点。一些常见的防护点有：浏览器的官方导航页、newtab页、官方扩展管理页、官方搜索、扩展组件自动升级设置和external加载等。

具体的，操作权限通常是指是否能够操作，在实际应用中可以包括允许和禁止等，其中，允许是指允许操作，禁止是指禁止操作。由于通常会出现各式各样的新的扩展组件，因此配置文件中可能不包含这些新的扩展组件对各防护 点操作权限的信息。这时候可以根据默认设置，将这些新的扩展组件对各防护点操作权限设置为禁止，也可以根据实际需要设置为允许或者其它的方式。

当接收当前扩展组件对当前防护点的操作请求时，通过所述安全审查引擎调用所述浏览器的配置文件。在实际应用中，通常会出现扩展组件同时需要对多个防护点进行操作的情况，因此当前防护点可以是全部防护点中的某一个防护点，也可以是全部防护点中的多个防护点。

步骤s13：根据所述配置文件，确定所述当前扩展组件对所述当前防护点的操作权限，根据所确定的所述操作权限对所述浏览器进行防护。

根据所述配置文件中包含的所述当前扩展组件对各防护点操作权限的信息，确定所述当前扩展组件对所述当前防护点的操作权限，然后根据所确定的所述操作权限对所述浏览器进行防护。

在实际应用中，根据所确定的所述操作权限对所述浏览器进行防护通常有两种具体的方式，包括当所确定的所述操作权限为允许时，允许所述当前扩展组件对所述当前防护点进行操作；当所确定的所述操作权限为禁止时，禁止所述当前扩展组件对所述当前防护点进行操作。

采用实施例1提供的浏览器的防护方法，由于在接收当前扩展组件对当前防护点的操作请求时，通过安全审查引擎调用浏览器的配置文件，并且配置文件中包含当前扩展对各防护点操作权限的信息，因此确定了当前扩展对当前防护点的操作权限，根据该操作权限实现了浏览器的防护。从而解决了现有技术中，当非法扩展组件更换标识实现加载之后，无法对浏览器进行防护的问题。

需要说明的是，实施例1所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法的各步骤也可以由不同设备作为执行主体。比如，步骤11和步骤12的执行主体可以为设备1；又比如，步骤11的执行主体可以为设备1，步骤12和的执行主体可以为设备2；等等。

实施例2

在实施例1中提到的配置文件中包含当前扩展组件对各防护点操作权限的信息，其实在实际应用中新的扩展组件出现时，或者配置文件中包含的该扩展组件对各防护点操作权限的信息没有进行更新时，通常在配置文件中增加扩展组件库，通过扩展组件库对扩展组件的操作权限进行更新设置，这样就构成了本申请的实施例2。该方法的具体流程示意图如图2所示，包括下述步骤：

步骤s21：启动浏览器主程序中的安全审查引擎。

步骤s21和步骤s11相同，这里就不再赘叙。

步骤s22：当接收当前扩展组件对当前防护点的操作请求时，通过所述安全审查引擎调用所述浏览器的配置文件，所述配置文件中包含扩展组件库以及所述当前扩展组件对各防护点操作权限的信息，所述防护点为所述浏览器中的指点设置点，所述扩展组件库用于记录所述扩展组件库中各扩展组件的安全性。

在实际应用中，由于通常会出现新的扩展组件，从而会出现在接收该扩展组件对防护点的操作请求时，配置文件中不一定包含该扩展组件库对各防护点操作权限的信息，对于这种情况一种通常的解决方式是，该扩展组件库对各防护点设置统一的默认权限，默认权限可以为允许或者禁止。但是，由于新扩展组件出现的速度较快，并且扩展组件版本更新，这种设置默认权限的方式并不能够很好地解决问题。因此，通常在配置文件中增加扩展组件库，通过扩展组件库来设置扩展组件对各防护点操作权限，并且可以通过更新扩展组件库的方式解决上述问题。所述扩展组件库用于记录所述扩展组件库中各扩展组件的安全性。

步骤s23：当所述当前扩展组件为所述扩展组件库中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为对应的操作权限。

当所述当前扩展组件不包含在扩展组件库时，为所述当前扩展组件设置对应的操作权限。

实际应用中，扩展组件的提供方通常包括三类，第一类为浏览器开发方提 供的扩展组件，第二类为浏览器的合作伙伴提供的扩展组件，第三类为第三方提供的扩展组件。通常来说，第一类和第二类扩展组件较安全，因此扩展组件库可以为白名单，记录在所述白名单中的各扩展组件被确定为安全；这时候步骤s23可以为步骤s231。

步骤s231：当所述当前扩展组件为所述白名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为禁止。

另外，当所述当前扩展组件为所述白名单中所记录的扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为允许。

特别的，在实际应用中通常也可以通过设置黑名单的方式来设置操作权限，记录在所述黑名单中的各扩展组件被确定为存在风险，这样步骤s23也可以为步骤s232。

步骤s232：当所述当前扩展组件为所述黑名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为允许。

当所述当前扩展组件为所述黑名单中所记录的扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为禁止。

当然，在实际应用中还可以通过白名单和黑名单同时使用，来扩展组件设置操作权限。这样通常为白名单内的扩展组件允许操作各所述防护点，黑名单内的扩展组件禁止操作各所述防护点，对于不在白名单和黑名单上的扩展组件，可以根据实际需要设置对各防护点的操作权限，例如设置为允许、禁止或者部分禁止等。

步骤s24：根据所述配置文件，确定所述当前扩展组件对所述当前防护点的操作权限，根据所确定的所述操作权限对所述浏览器进行防护。

采用实施例2提供的该方法，在配置文件中增加了扩展组件库，当配置文件中包含的该扩展组件对各防护点操作权限的信息没有进行更新时，通过该扩展文件库对各防护点操作权限的信息进行更新设置，并通过该更新设置的结果最终实现对所述浏览器进行防护。

实施例3

实施例3提供了一种浏览器的防护装置，用于解决现有技术中当非法扩展组件更换标识实现加载之后，无法实现浏览器防护的问题。如图3所示，该装置300包括：

启动单元301、调用单元302和防护单元303，其中：

启动单元301，用于启动浏览器主程序中的安全审查引擎；

调用单元302，用于当接收当前扩展组件对当前防护点的操作请求时，通过所述安全审查引擎调用所述浏览器的配置文件，所述配置文件中包含所述当前扩展组件对各防护点操作权限的信息，所述防护点为所述浏览器中的指点设置点；

防护单元303，用于根据所述配置文件，确定所述当前扩展组件对所述当前防护点的操作权限，根据所确定的所述操作权限对所述浏览器进行防护。

采用实施例3提供的浏览器的防护装置，由于在接收当前扩展组件对当前防护点的操作请求时，通过调用单元调用浏览器的配置文件，并且配置文件中包含当前扩展对各防护点操作权限的信息，因此确定了当前扩展对当前防护点的操作权限，根据该操作权限实现了浏览器的防护。从而解决了现有技术中，当非法扩展组件更换标识实现加载之后，无法对浏览器进行防护的问题。

由于在实际应用中，通常会出现新的扩展组件，使得配置文件中包含的该扩展组件对各防护点操作权限的信息没有及时进行更新，可以在配置文件中增加扩展组件库，并通过扩展组件库来设置扩展对各所述防护点的操作权限，该扩展文库可以通过网络及时进行更新。因此，所述配置文件中还包含扩展组件库，所述扩展组件库用于记录所述扩展组件库中各扩展组件的安全性，所述装置30还包括：设置单元304，用于当所述当前扩展组件为所述扩展组件库中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为对应的操作权限。

特别的，由于扩展组件的提供方通常为浏览器提供商，因此扩展组件库可 以包括白名单，记录在所述白名单中的各扩展组件被确定为安全。

这时候，所述设置单元304具体包括第一设置单元3041，用于当所述当前扩展组件为所述白名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为禁止。

对于第三方提供的扩展组件可能出现的防线问题，通常可以在扩展组件库中增加黑名单，记录在所述黑名单中的各扩展组件被确定为存在风险。

这时候，所述设置单元304具体包括第二设置单元3042，用于当所述当前扩展组件为所述黑名单中所记录的扩展组件之外的其它扩展组件时，将所述当前扩展组件对各所述防护点的操作权限设置为允许。

所述防护单元303包括第一防护单元3031，用于当所确定的所述操作权限为允许时，允许所述当前扩展组件对所述当前防护点进行操作；和/或，

第二防护单元3032，用于当所确定的所述操作权限为禁止时，禁止所述当前扩展组件对所述当前防护点进行操作。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备操作的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、 方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。