跨站脚本攻击的防御方法、装置、存储介质和服务器制造方法及图纸

本申请公开了一种跨站脚本攻击的防御方法、装置、存储介质和服务器，基于第一用户上传的富文本信息作为网页内容，并将富文本信息的唯一编号作为网址的文件名，生成子页面。基于用于加载子页面iframe标签作为网页内容，并将唯一编号作为网址的文件名，生成满足预设条件的父页面。在接收到第二用户通过浏览器发送的访问请求后，向浏览器发送父页面，使得浏览器执行父页面中的iframe标签，得到富文本信息，并通过预设界面向第二用户展示富文本信息。受限于浏览器的同源策略，保证子页面中的富文本信息不会影响到父页面，从而在确保用户上传的富文本信息均可正常展示给其他客户观看的情况下，有效防御XSS攻击，显著提高了用户体验。显著提高了用户体验。显著提高了用户体验。

【技术实现步骤摘要】
跨站脚本攻击的防御方法、装置、存储介质和服务器


[0001]本申请涉及网络安全领域，尤其涉及一种跨站脚本攻击的防御方法、装置、存储介质和服务器。

技术介绍

[0002]跨站脚本(Cross Site Script，CSS)攻击，又称之为XSS攻击，指的是恶意攻击者往Web页面(即网页)里插入恶意html代码，当用户浏览该网页之时，嵌入该网页的html代码会被执行，从而达到恶意用户的特殊目的。电商平台、论坛、博客等一些可允许用户录入页面排版、格式控制相关的html的场景，在这些场景中必须支持富文本的用户内容回显，例如电商平台上，卖家通过富文本来展示商品的详情信息，可能涉及页面美化排版、超链接、锚点之类的。在这种情况下，恶意卖家可通过富文本来实现对电商平台的XSS攻击。
[0003]目前，为了防止XSS攻击，主流做法有两种，白名单和黑名单，黑名单禁止危险标签和属性，但是不具有向前安全性，出现技术更新后需要及时添加新标签及属性黑名单。白名单只允许安全的标签及属性，但是影响用户体验，很多合法标签属性样式得不到支持，同时无论黑白名单都会过滤标签和属性，很多用户输入的标签被过滤或者篡改，导致得不到用户想要的展示效果，因此无法所见即所得。
[0004]为此，如何在确保用户上传的富文本可正常展示给其他客户观看的情况下，有效防御XSS攻击，成为本领域亟需解决的问题。

技术实现思路

[0005]本申请提供了一种跨站脚本攻击的防御方法、装置、存储介质和服务器，用于在确保用户上传的富文本均可正常展示给其他客户观看的情况下，有效防御XSS攻击，提高用户体验。
[0006]为了实现上述目的，本申请提供了以下技术方案：
[0007]一种跨站脚本攻击的防御方法，包括：
[0008]在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号；
[0009]基于所述富文本信息作为网页内容，并将所述唯一编号作为网址的文件名，生成子页面；
[0010]创建用于加载所述子页面的iframe标签；
[0011]基于所述iframe标签作为网页内容，并将所述唯一编号作为网址的文件名，生成满足预设条件的父页面；所述预设条件包括：所述父页面的域名与所述子页面的域名不同，和/或，所述父页面的端口与所述子页面的端口不同，和/或，所述父页面的协议与所述子页面的协议不同；
[0012]在接收到第二用户通过浏览器发送的访问请求后，对所述访问请求进行解析，得到访问地址；
[0013]在确定所述访问地址为所述父页面的网址的情况下，向所述浏览器发送所述父页
面，使得所述浏览器执行所述父页面中的iframe标签，得到所述富文本信息，并通过预设界面向所述第二用户展示所述富文本信息。
[0014]可选的，所述对所述访问请求进行解析，得到访问地址之后，还包括：
[0015]在确定所述访问地址不为所述父页面的网址的情况下，向所述浏览器发送访问地址错误的提示。
[0016]可选的，所述在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号，包括：
[0017]在接收到第一用户上传的富文本信息后，将所述富文本信息存放到预设数据库中，触发所述预设数据库生成与所述富文本信息对应的递增ID，并将所述递增ID作为所述富文本信息的唯一编号。
[0018]可选的，所述在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号，包括：
[0019]在接收到第一用户上传的富文本信息后，调用预设进程，生成与所述富文本信息对应的通用唯一识别码，并将所述通用唯一识别码作为所述富文本信息的唯一编号。
[0020]一种跨站脚本攻击的防御装置，包括：
[0021]编号生成单元，用于在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号；
[0022]子页面生成单元，用于基于所述富文本信息作为网页内容，并将所述唯一编号作为网址的文件名，生成子页面；
[0023]标签创建单元，用于创建用于加载所述子页面的iframe标签；
[0024]父页面生成单元，用于基于所述iframe标签作为网页内容，并将所述唯一编号作为网址的文件名，生成满足预设条件的父页面；所述预设条件包括：所述父页面的域名与所述子页面的域名不同，和/或，所述父页面的端口与所述子页面的端口不同，和/或，所述父页面的协议与所述子页面的协议不同；
[0025]请求解析单元，用于在接收到第二用户通过浏览器发送的访问请求后，对所述访问请求进行解析，得到访问地址；
[0026]页面反馈单元，用于在确定所述访问地址为所述父页面的网址的情况下，向所述浏览器发送所述父页面，使得所述浏览器执行所述父页面中的iframe标签，得到所述富文本信息，并通过预设界面向所述第二用户展示所述富文本信息。
[0027]可选的，还包括：
[0028]访问提示单元，用于在确定所述访问地址不为所述父页面的网址的情况下，向所述浏览器发送访问地址错误的提示。
[0029]可选的，所述编号生成单元具体用于：
[0030]在确定所述访问地址不为所述父页面的网址的情况下，向所述浏览器发送访问地址错误的提示。
[0031]可选的，所述编号生成单元具体用于：
[0032]在接收到第一用户上传的富文本信息后，调用预设进程，生成与所述富文本信息对应的通用唯一识别码，并将所述通用唯一识别码作为所述富文本信息的唯一编号。
[0033]一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，所述
程序执行所述的跨站脚本攻击的防御方法。
[0034]一种服务器，包括：处理器、存储器和总线；所述处理器与所述存储器通过所述总线连接；
[0035]所述存储器用于存储程序，所述处理器用于运行程序，其中，所述程序运行时执行所述的跨站脚本攻击的防御方法。
[0036]本申请提供的技术方案，在接收到第一用户上传的富文本信息后，生成富文本信息的唯一编号。基于富文本信息作为网页内容，并将唯一编号作为网址的文件名，生成子页面。创建用于加载子页面的iframe标签，基于iframe标签作为网页内容，并将唯一编号作为网址的文件名，生成满足预设条件的父页面。在接收到第二用户通过浏览器发送的访问请求后，对访问请求进行解析，得到访问地址。在确定访问地址为父页面的网址的情况下，向浏览器发送父页面，使得浏览器执行父页面中的iframe标签，得到富文本信息，并通过预设界面向第二用户展示富文本信息。通过用于加载子页面的iframe标签，使得与父页面不同源的子页面嵌入到父页面中，受限于浏览器的同源策略，保证子页面中的富文本信息不会影响到父页面，同时还能够保留用户原始上传的富文本信息，从而在确保用户上传的富文本信息均可正常展示给其他客户观看的情况下，有效防御XSS攻击，显著提高了用户体验。
附图说明
[0037]为了更清楚地说明本申请实施例或现有技术中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种跨站脚本攻击的防御方法，其特征在于，包括：在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号；基于所述富文本信息作为网页内容，并将所述唯一编号作为网址的文件名，生成子页面；创建用于加载所述子页面的iframe标签；基于所述iframe标签作为网页内容，并将所述唯一编号作为网址的文件名，生成满足预设条件的父页面；所述预设条件包括：所述父页面的域名与所述子页面的域名不同，和/或，所述父页面的端口与所述子页面的端口不同，和/或，所述父页面的协议与所述子页面的协议不同；在接收到第二用户通过浏览器发送的访问请求后，对所述访问请求进行解析，得到访问地址；在确定所述访问地址为所述父页面的网址的情况下，向所述浏览器发送所述父页面，使得所述浏览器执行所述父页面中的iframe标签，得到所述富文本信息，并通过预设界面向所述第二用户展示所述富文本信息。2.根据权利要求1所述的方法，其特征在于，所述对所述访问请求进行解析，得到访问地址之后，还包括：在确定所述访问地址不为所述父页面的网址的情况下，向所述浏览器发送访问地址错误的提示。3.根据权利要求1所述的方法，其特征在于，所述在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号，包括：在接收到第一用户上传的富文本信息后，将所述富文本信息存放到预设数据库中，触发所述预设数据库生成与所述富文本信息对应的递增ID，并将所述递增ID作为所述富文本信息的唯一编号。4.根据权利要求1所述的方法，其特征在于，所述在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号，包括：在接收到第一用户上传的富文本信息后，调用预设进程，生成与所述富文本信息对应的通用唯一识别码，并将所述通用唯一识别码作为所述富文本信息的唯一编号。5.一种跨站脚本攻击的防御装置，其特征在于，包括：编号生成单元，用于在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号；子页面生成单元，用于基于所述富文本信...

【专利技术属性】
技术研发人员：戴根泉，陈宇，汪宁，芦帅，陈鹏，
申请(专利权)人：杭州乒乓智能技术有限公司，
类型：发明
国别省市：