【技术实现步骤摘要】
一种网站跨站脚本攻击的防御方法
本专利技术涉及互联网
,特别是涉及一种网站跨站脚本攻击的防御方法。
技术介绍
互联网技术的进步,促进着互联网产业的蓬勃发展,同时也伴随着形形色色的网络安全问题。如今网络安全问题越来越受到互联网从业者的重视,如何解决网络安全问题是一个互联网企业的立身之本。跨站脚本攻击(CrossSiteScript,为了和层叠样式表CascadingStyleSheet,CSS有所区分,又称XSS攻击)是一种常见的网络安全问题。具体来讲,跨站脚本攻击是指攻击者通过在Web页面中嵌入恶意的可执行脚本或者HTML代码,当用户访问该页面时,镶嵌的恶意脚本或代码就会执行。攻击者可以通过多种方式危害用户,包括通过获取用户的session信息从而伪装成用户访问授权网站,盗取用户信息和账号,读取、篡改、添加、删除、盗窃企业重要的、具有商业价值的资料,造成重大的损失。XSS漏洞主要分为反射性XSS(reflected-XSS),存储型XSS(stored-XSS),DOM型XSS(DOM-basedXSS)这三种...
【技术保护点】
1.一种网站跨站脚本攻击的防御方法,其特征在于,包括如下步骤:/n步骤1:分析网站业务逻辑,判断业务是否支持脚本代码输入,所述支持脚本代码输入的业务的设置保存项请求都有相同的URL前缀,根据请求URL来配置白名单,所述白名单支持不止一种形式的配置;根据URL进行模糊匹配和精确匹配,根据后端接口中的controller类名进行匹配,/n步骤2:分析前端页面交互,判断输入数据的交互是否需要经过服务端处理,如果一个数据输入保存之后不发任何请求,而是直接作用在页面上,则这种交互是不需要经过服务端处理的;反之,则需要经过服务端处理;对于不需要经过服务端处理而通过js处理直接展示在页面...
【技术特征摘要】
1.一种网站跨站脚本攻击的防御方法,其特征在于,包括如下步骤:
步骤1:分析网站业务逻辑,判断业务是否支持脚本代码输入,所述支持脚本代码输入的业务的设置保存项请求都有相同的URL前缀,根据请求URL来配置白名单,所述白名单支持不止一种形式的配置;根据URL进行模糊匹配和精确匹配,根据后端接口中的controller类名进行匹配,
步骤2:分析前端页面交互,判断输入数据的交互是否需要经过服务端处理,如果一个数据输入保存之后不发任何请求,而是直接作用在页面上,则这种交互是不需要经过服务端处理的;反之,则需要经过服务端处理;对于不需要经过服务端处理而通过js处理直接展示在页面的交互,在js中进行转译处理,对于需要经过服务端处理的交互,判断交互在业务逻辑上是否会存在XSS漏洞的请求,对于不会存在XSS漏洞的请求,则在前端页面设置校验;
步骤3:后端程序改造,从程序上对来自前端页面的请求参数进行处理,包括:
步骤3-1:在请求到达具体的Controller接口前,通过aop面向切面编程的方式,获取到请求的url和参数,在白名单里根据优先级依次匹配判断...
【专利技术属性】
技术研发人员:黄明,胡成钢,
申请(专利权)人:南京焦点领动云计算技术有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。