本发明专利技术公开了一种跨站脚本XSS攻击防御方法及Web服务器,涉及互联网技术领域,通过Web服务器进行XSS攻击防御。本发明专利技术实施例提供的XSS攻击防御方法包括:Web服务器获取接收到的一消息的消息类型、内容字符串;根据所述内容字符串,查询预设的XSS攻击特征库,若所述内容字符串中至少一个字符与所述XSS攻击特征库中的XSS攻击描述特征相匹配,则确定所述消息具有XSS攻击特性;对所述请求消息进行防御处理,其中,所述XSS攻击特征库存储有XSS攻击描述特征。
【技术实现步骤摘要】
本专利技术涉及互联网
,尤其涉及一种XSS攻击防御方法及Web服务器。
技术介绍
当今,网络正成为现实生活中各种服务的一个新的平台和载体。为了提高用户体验,脚本语言(大多数为JavaScript)在网络应用中被大量使用。不幸的是,这个趋势让跨站脚本(Cross Site Script,即XSS)攻击成为了目前互联网最为严重的安全问题之一。XSS攻击指的是恶意攻击者往网页(Web)页面里插入恶意脚本程序代码,当用户浏览该页面时,嵌入Web里面的恶意脚本程序代码会被执行,从而达到恶意攻击用户的特殊目的,如泄露用户隐私、使客户端电脑感染病毒、控制企业数据、盗窃企业重要的具有商业价值的资料、非法转账、强制发送电子邮件、网站挂马以及控制受害者机器向其他网站发送攻击等。当前主要的防御XSS攻击的方法包括:在客户端的Web浏览页面上对Web服务器输出的脚本程序代码做HTML转义处理,以破坏恶意脚本程序代码,实现防御XSS攻击的目的。但是,由于脚本程序代码中需要进行转义的点非常多,很容易遗漏,从而不能实现完全防御XSS攻击的目的。
技术实现思路
本专利技术的实施例提供一种XSS攻击防御方法及Web服务器,以解决现有不完全防御XSS攻击的问题。为达到上述目的,本专利技术的实施例采用如下技术方案:第一方面,本专利技术实施例提供一种XSS攻击防御方法,包括:Web服务器获取接收到的一消息的内容字符串;根据所述内容字符串,查询预设的XSS攻击特征库,若所述内容字符串中至少一个字符与所述XSS攻击特征库中的XSS攻击描述特征相匹配,则确定所述消息具有XSS攻击特性;其中,所述XSS攻击特征库存储有XSS攻击描述特征;对所述消息进行防御处理。在第一方面的第一种可能的实现方式中,结合第一方面,所述XSS攻击特征库中的XSS攻击描述特征为:根据XSS攻击时的特性统计出来的。在第一方面的第二种可能的实现方式中,结合第一方面或第一方面的第一种可能的实现方式,所述根据所述内容字符串,查询预设的XSS攻击特征库包括:按照字符顺序将所述内容字符串中各个字符分别与所述XSS攻击特征库中的XSS攻击描述特征进行匹配。在第一方面的第三种可能的实现方式中,结合第一方面至第一方面的第二种可能的实现方式中的任一种实现方式,所述消息还包含消息类型;所述对所述消息进行防御处理包括:当所述消息类型指示所述消息为请求消息时,对所述请求消息进行拦截处理;当所述消息类型指示所述消息为响应消息时,对所述响应消息进行转义处理。在第一方面的第四种可能的实现方式中,结合第一方面的第三种可能的实现方式,所述对所述请求消息进行拦截处理包括:忽略或删除所述请求消息,并向Web客户端返回异常信息;其中,所述异常信息用于指示所述请求消息为XSS攻击消息。在第一方面的第五种可能的实现方式中,结合第一方面的第三种可能的实现方式,所述XSS攻击特征库还存储有XSS攻击描述特征与其转义方式、以及转义处理的对应关系;所述对所述响应消息进行转义处理包括:将所述响应消息的内容字符串包含的XSS攻击特征的字符,按照所述XSS攻击特征库中的转义方式进行转义处理。第二方面,本专利技术实施例提供一种Web服务器,包括:获取单元,用于获取接收到的一消息的内容字符串;确定单元,用于根据所述内容字符串,查询预设的XSS攻击特征库,若所述内容字符串中至少一个字符与所述XSS攻击特征库中的XSS攻击描述特征相匹配,则确定所述消息具有XSS攻击特性;其中,所述XSS攻击特征库存储有XSS攻击描述特征;防御单元,用于对所述消息进行防御处理。在第二方面的第一种可能的实现方式中,结合第二方面,所述XSS攻击特征库中的XSS攻击描述特征为:根据XSS攻击时的特性统计出来的。在第二方面的第二种可能的实现方式中,结合第二方面或第二方面的第一种可能的实现方式,所述确定单元,具体用于:按照字符顺序将所述内容字符串中各个字符分别与所述XSS攻击特征库中的XSS攻击描述特征进行匹配。在第二方面的第三种可能的实现方式中,结合第二方面至第二方面的第二种可能的实现方式中的任一种实现方式,所述消息还包含消息类型;所述防御单元,具体用于:当所述消息类型指示所述消息为请求消息时,对所述请求消息进行拦截处理;当所述消息类型指示所述消息为响应消息时,对所述响应消息进行转义处理。在第二方面的第四种可能的实现方式中,结合第二方面的第三种可能的实现方式,所述防御单元,具体用于:当所述消息类型指示所述消息为请求消息时,忽略或删除所述请求消息,并向Web客户端返回异常信息;其中,所述异常信息用于指示所述请求消息为XSS攻击消息。在第二方面的第五种可能的实现方式中,结合第二方面的第三种可能的实现方式,所述XSS攻击特征库还存储有XSS攻击描述特征与其转义方式、以及转义处理的对应关系;所述防御单元,具体用于:当所述消息类型指示所述消息为响应消息时,将所述响应消息的内容字符串包含的XSS攻击特征的字符,按照XSS攻击特征库中的转义方式进行转义处理。相较于现有技术,本专利技术实施例提供的XSS攻击防御方法不再通过Web客户端进行XSS攻击的防御,而是通过Web服务器进行XSS攻击防御。这样,在接收到Web客户端发送的消息时,就对具有XSS攻击特性的消息进行防御处理,避免了现有Web客户端需要在Web服务器输出的脚本程序代码中对各转义点进行转义处理来防御XSS攻击时,导致的不完全防御XSS攻击的问题。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的实施环境的网络架构;图2为本专利技术实施例提供的一种XSS攻击防御方法的流程图;图3为本专利技术实施例提供的一种Web服务器的结构图;图4为本专利技术实施例提供的一种Web服务器的结构图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全本文档来自技高网...
【技术保护点】
一种XSS攻击防御方法,其特征在于,包括:Web服务器获取接收到的一消息的内容字符串;根据所述内容字符串,查询预设的XSS攻击特征库,若所述内容字符串中至少一个字符与所述XSS攻击特征库中的XSS攻击描述特征相匹配,则确定所述消息具有XSS攻击特性;其中,所述XSS攻击特征库存储有XSS攻击描述特征;对所述消息进行防御处理。
【技术特征摘要】
1.一种XSS攻击防御方法,其特征在于,包括:
Web服务器获取接收到的一消息的内容字符串;
根据所述内容字符串,查询预设的XSS攻击特征库,若所述内容
字符串中至少一个字符与所述XSS攻击特征库中的XSS攻击描述特征
相匹配,则确定所述消息具有XSS攻击特性;其中,所述XSS攻击特
征库存储有XSS攻击描述特征;
对所述消息进行防御处理。
2.根据权利要求1所述的XSS攻击防御方法,其特征在于,
所述XSS攻击特征库中的XSS攻击描述特征为:根据XSS攻击
时的特性统计出来的。
3.根据权利要求1或2所述的XSS攻击防御方法,其特征在于,
所述根据所述内容字符串,查询预设的XSS攻击特征库包括:
按照字符顺序将所述内容字符串中各个字符分别与所述XSS攻击
特征库中的XSS攻击描述特征进行匹配。
4.根据权利要求1-3任一项所述的XSS攻击防御方法,其特征在
于,所述消息还包含消息类型;
所述对所述消息进行防御处理包括:
当所述消息类型指示所述消息为请求消息时,对所述请求消息进
行拦截处理;
当所述消息类型指示所述消息为响应消息时,对所述响应消息进
行转义处理。
5.根据权利要求4所述的XSS攻击防御方法,其特征在于,所述
对所述请求消息进行拦截处理包括:
忽略或删除所述请求消息,并向Web客户端返回异常信息;其中,
所述异常信息用于指示所述请求消息为XSS攻击消息。
6.根据权利要求4所述的XSS攻击防御方法,其特征在于,所述
XSS攻击特征库还存储有XSS攻击描述特征与其转义方式、以及转义
处理的对应关系;
所述对所述响应消息进行转义处理包括:
将所述响应消息的内容字符串包含的XSS攻击特征的字符,按照
所述XSS攻击特征库中的转义方式进行转义处理。
7.一种Web服...
【专利技术属性】
技术研发人员:王春生,杜志平,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。