本说明书一个或多个实施例提供一种页面响应方法、页面请求方法及装置,该页面响应方法可以包括:根据客户端发起的页面请求,获取对应的页面内容;当所述页面内容涉及对预设类型API的调用时,生成应用于所述页面内容的校验信息;将所述校验信息分别添加至所述页面内容的头部、所述页面内容中对应于所述预设类型API的调用函数的接口参数中;将所述页面内容返回至所述客户端。
Page response method, page request method and device
【技术实现步骤摘要】
页面响应方法、页面请求方法及装置
本说明书一个或多个实施例涉及互联网
,尤其涉及一种页面响应方法、页面请求方法及装置。
技术介绍
在相关技术中,通过实施CSP(ContentSecurityPolicy,内容安全策略)机制可以针对诸如XSS(CrossSiteScripting,跨站脚本攻击)漏洞等进行检测和防御,比如判断页面内容中的指定代码块是否需要执行js代码,以确定该指定代码块是否允许被执行,从而提升网络安全性。
技术实现思路
有鉴于此,本说明书一个或多个实施例提供一种页面响应方法、页面请求方法及装置。为实现上述目的,本说明书一个或多个实施例提供技术方案如下:根据本说明书一个或多个实施例的第一方面,提出了一种页面响应方法,包括:根据客户端发起的页面请求,获取对应的页面内容;当所述页面内容涉及对预设类型API的调用时,生成应用于所述页面内容的校验信息;将所述校验信息分别添加至所述页面内容的头部、所述页面内容中对应于所述预设类型API的调用函数的接口参数中;将所述页面内容返回至所述客户端。根据本说明书一个或多个实施例的第二方面,提出了一种页面请求方法,包括:向服务端发起页面请求;解析所述服务端返回的页面内容,以获取所述页面内容的头部包含的第一校验信息、所述页面内容中对应于预设类型API的调用函数的接口参数中包含的第二校验信息;当所述第一校验信息与所述第二校验信息一致时,允许执行对应于所述预设类型API的调用函数。根据本说明书一个或多个实施例的第三方面,提出了一种页面响应装置,包括:获取单元,根据客户端发起的页面请求,获取对应的页面内容;生成单元,当所述页面内容涉及对预设类型API的调用时,生成应用于所述页面内容的校验信息;第一添加单元,将所述校验信息分别添加至所述页面内容的头部、所述页面内容中对应于所述预设类型API的调用函数的接口参数中;返回单元,将所述页面内容返回至所述客户端。根据本说明书一个或多个实施例的第四方面,提出了一种页面请求装置,包括:请求单元,向服务端发起页面请求;解析单元,解析所述服务端返回的页面内容,以获取所述页面内容的头部包含的第一校验信息、所述页面内容中对应于预设类型API的调用函数的接口参数中包含的第二校验信息;控制单元,当所述第一校验信息与所述第二校验信息一致时,允许执行对应于所述预设类型API的调用函数。附图说明图1是一示例性实施例提供的一种页面交互系统的架构示意图。图2是一示例性实施例提供的一种页面响应方法的流程图。图3是一示例性实施例提供的一种页面请求方法的流程图。图4是一示例性实施例提供的一种页面交互过程的示意图。图5是一示例性实施例提供的一种设备的结构示意图。图6是一示例性实施例提供的一种页面响应装置的框图。图7是一示例性实施例提供的另一种设备的结构示意图。图8是一示例性实施例提供的一种页面请求装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。图1是一示例性实施例提供的一种页面交互系统的架构示意图。如图1所示,该系统可以包括服务器11、网络12、若干电子设备,比如手机13、PC14等。服务器11可以为包含一独立主机的物理服务器,或者该服务器11可以为主机集群承载的虚拟服务器。在运行过程中,服务器11可以运行某一应用的服务器侧的程序,以实现为该应用的服务端。而在本说明书一个或多个实施例的技术方案中,可由服务器11通过与手机13、PC14上运行的客户端进行配合,以实现安全的页面交互方案。手机13、PC14只是可以使用的部分类型的电子设备。实际上,用户显然还可以使用诸如下述类型的电子设备:平板设备、笔记本电脑、掌上电脑(PDAs,PersonalDigitalAssistants)、可穿戴设备(如智能眼镜、智能手表等)等,本说明书一个或多个实施例并不对此进行限制。在运行过程中,该电子设备可以运行某一应用的客户端侧的程序,以实现为该应用的客户端。而对于手机13、PC14与服务器11之间进行交互的网络12,可以包括多种类型的有线或无线网络。在一实施例中,该网络12可以包括公共交换电话网络(PublicSwitchedTelephoneNetwork,PSTN)和因特网。图2是一示例性实施例提供的一种页面响应方法的流程图。如图2所示,该方法应用于服务端(例如图1所示的服务器11等),可以包括以下步骤:步骤202,根据客户端发起的页面请求,获取对应的页面内容。在一实施例中,服务端在收到客户端发起的页面请求后,可以按照相关技术中的响应方式对该页面请求进行响应,以获得相应的页面内容,本说明书并不对此进行限制。步骤204,当所述页面内容涉及对预设类型API的调用时,生成应用于所述页面内容的校验信息。在一实施例中,预设类型API可以包括特权API,即封装的js接口对象需要实施特权操作的系统API,比如该特权操作可以包括文件操作、进程操作、注册表操作等。当然,该预设类型API还可以包括预定义或指定的其他类型,本说明书并不对此进行限制。在一实施例中,校验信息可以包括针对所述页面内容生成的随机字符串。其中,该随机字符串可以与页面内容;或者,该随机字符串可以与页面内容相关,比如可以将该页面内容的数字摘要信息作为随机种子,通过相关技术中的伪随机数发生器生成该校验信息,可以增加该校验信息的随机性、避免不法分子予以操控。步骤206,将所述校验信息分别添加至所述页面内容的头部、所述页面内容中对应于所述预设类型API的调用函数的接口参数中。步骤208,将所述页面内容返回至所述客户端。在一实施例中,通过将校验信息分别添加至页面内容的头部、预设类型API的调用函数的接口参数中,使得客户端在需要使用该预设类型API的调用函数时,可以分别从页面内容的头部、该预设类型API的调用函数的接口参数中获取校验信息,那么:如果两个校验信息一致,可以认为该预设类型API的调用函数安全可靠,并非被不法分子利用的XSS漏洞,允许执行该预设类型API的调用函数;如果两个校验信息不一致,本文档来自技高网...
【技术保护点】
1.一种页面响应方法,其特征在于,包括:/n根据客户端发起的页面请求,获取对应的页面内容;/n当所述页面内容涉及对预设类型API的调用时,生成应用于所述页面内容的校验信息;/n将所述校验信息分别添加至所述页面内容的头部、所述页面内容中对应于所述预设类型API的调用函数的接口参数中;/n将所述页面内容返回至所述客户端。/n
【技术特征摘要】
1.一种页面响应方法,其特征在于,包括:
根据客户端发起的页面请求,获取对应的页面内容;
当所述页面内容涉及对预设类型API的调用时,生成应用于所述页面内容的校验信息;
将所述校验信息分别添加至所述页面内容的头部、所述页面内容中对应于所述预设类型API的调用函数的接口参数中;
将所述页面内容返回至所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述预设类型API包括:特权API。
3.根据权利要求1所述的方法,其特征在于,所述校验信息包括:针对所述页面内容生成的随机字符串。
4.根据权利要求1所述的方法,其特征在于,所述校验信息被以原始取值的形式返回至所述客户端。
5.根据权利要求1所述的方法,其特征在于,还包括:
通过私钥对与所述页面内容相关的信息进行签名,其中所述客户端持有所述私钥对应的公钥;
将生成的签名后信息添加至所述页面内容的头部。
6.根据权利要求5所述的方法,其特征在于,所述与所述页面内容相关的信息包括:所述页面内容的数字摘要信息。
7.一种页面请求方法,其特征在于,包括:
向服务端发起页面请求;
解析所述服务端返回的页面内容,以获取所述页面内容的头部包含的第一校验信息、所述页面内容中对应于预设类型API的调用函数的接口参数中包含的第二校验信息;
当所述第一校验信息与所述第二校验信息一致时,允许执行对应于所述预设类型API的调用函数。
8.根据权利要求7所述的方法,其特征在于,所述预设类型API包括:特权API。
9.根据权利要求7所述的方法,其特征在于,还包括:
获取所述页面内容的头部包含的签名后信息;
当确定所述签名后信息并非由所述服务端通过自身的私钥对与所述页面内容相关的信息进行签名而得到时,生成异常通知和/或强制退出。
10.根据权利要求9所述的方法,其特征在于,所述与所述页面内容相关的信息包括:所述页面内容的数字摘要信息。
11.一种页面响应装置,其特征在于,包括:
获取单元,根据...
【专利技术属性】
技术研发人员:周大,
申请(专利权)人:钉钉控股开曼有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。