The invention relates to the field of website security technology, in particular to a method for countering XSS attacks. The method described in this invention is to create a submission button in a iframe of different sources through a script, submitting the form of the parent page through the submission button in the iframe, and the server submits legitimacy by detecting whether the referer is initiated by the iframe. The invention solves the problem of Web site form submitting function that is open to the outside world, and is prone to cross site scripting attack (XSS). One
【技术实现步骤摘要】
一种对抗XSS攻击的方法
本专利技术涉及网站安全
,具体涉及一种对抗XSS攻击的方法。
技术介绍
目前网站的表单很多都是通过点击提交按钮发起的,例如提交评论、发布留言。如果留言系统有XSS漏洞,用户中招后,除了基本攻击外,XSS还会自动填入留言内容并模拟点击提交按钮发布带有恶意代码的留言。其他用户看到中招后又传播给其他用户,从而形成蠕虫扩散。
技术实现思路
本专利技术解决的技术问题在于提供一种对抗XSS攻击的方法,解决原来对外开放的网页表单提交功能容易受到跨站脚本攻击(XSS)的问题。本专利技术解决上述技术问题的技术方案是:所述的方法是通过脚本创建一个提交按钮放在不同源的iframe中,通过iframe中的提交按钮提交父页面的表单,服务端通过检测referer是否由iframe发起判断提交合法性。所述的方法具体包含以下几个步骤:步骤一、父页面初始化,通过脚本创建一个提交按钮,放在不同源的iframe中;步骤二、用户点击iframe的提交按钮,设置变量clicked为true,同时通知父页面;步骤三、父页面收到消息后,将表单数据发送到iframe并调用iframe页面的提交方法;步骤四、iframe页面的提交方法检验变量clicked,如果为true,则将父页面发过来的数据通过Ajax发送;步骤五、服务端接收数据,检验referer,如果为iframe的地址,则检验通过,否则提示数据来源错误;步骤六、iframe页面的提交方法收到服务端返回数据后,将结果发送回父页面;步骤七、父页面处理收到的返回数据,如果成功则提示提交成功,如果失败则提示详细错误。本专利技 ...
【技术保护点】
1.一种对抗XSS攻击的方法,其特征在于:所述的方法是通过脚本创建一个提交按钮放
【技术特征摘要】
1.一种对抗XSS攻击的方法,其特征在于:所述的方法是通过脚本创建一个提交按钮放在不同源的iframe中,通过iframe中的提交按钮提交父页面的表单,服务端通过检测referer是否由iframe发起判断提交合法性。2.根据权利要求1所述的方法,其特征在于:所述的方法具体包含以下几个步骤:步骤一、父页面初始化,通过脚本创建一个提交按钮,放在不同源的iframe中;步骤二、用户点击iframe的提交按钮,设置变量clicked为true,同时通知父页面;步...
【专利技术属性】
技术研发人员:张伟荣,季统凯,
申请(专利权)人:国云科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。