点击劫持攻击的防范方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术提供一种点击劫持攻击的防范方法、装置、电子设备及存储介质，涉及计算机技术领域，其中所述点击劫持攻击的防范方法包括：从日志中获取至少一个访问用户的访问请求；基于各访问请求，确定可信访问列表；可信访问列表中包括各访问用户中的可信访问用户及非可信访问用户；基于可信访问列表，确定内容安全策略CSP。上述方法中，由于可信访问列表中包括各访问用户中的可信访问用户及非可信访问用户；因此针对可信访问用户及非可信访问用户可以确定出不同的内容安全策略，实现针对不同的访问用户进行不同内容安全策略的点击劫持攻击防范；由于各访问用户都对应不同的内容安全策略，因此用户无法查看其他访问用户的信息，保证用户的数据安全。证用户的数据安全。证用户的数据安全。

【技术实现步骤摘要】
点击劫持攻击的防范方法、装置、电子设备及存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种点击劫持攻击的防范方法、装置、电子设备及存储介质。

技术介绍

[0002]点击劫持(Click jacking)攻击技术又称为界面伪装攻击(UI redress attack )，是一种视觉上的欺骗手段。攻击者使用一个或多个透明的iframe覆盖在一个正常的网页上，然后诱使用户在该网页上进行操作。当用户在不知情的情况下点击透明的iframe页面时，用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上，攻击者通过Click jacking攻击，使用户的利益受到危害。
[0003]相关技术中解决click jacking攻击的方案，主要为基于浏览器的安全策略以及服务端下发的规则来提升安全性，具体使用的技术方案为以下两种方式：1）x
‑
frame
‑
options头部设置对应的参数，从而拦截iframe，不允许iframe加载；2）使用内容安全策略（Content Security Policy，CSP）进行安全防护。
[0004]但是，利用x
‑
frame
‑
options头部只能全部拒绝iframe加载，或者只能添加单个地址白名单以解决click jacking攻击问题；利用CSP时，任意用户通过技术手段就可以直接看到白名单地址，会给用户带来数据安全风险。因此，如何在保证用户数据安全的情况下，针对多个来源地址进行click jacking攻击防范是亟待解决的问题。

技术实现思路

[0005]针对现有技术存在的问题，本专利技术实施例提供一种点击劫持攻击的防范方法、装置、电子设备及存储介质。
[0006]本专利技术提供一种点击劫持攻击的防范方法，包括：从日志中获取至少一个访问用户的访问请求；所述访问用户为访问目标网页的用户；所述访问请求用于在所述目标网页显示所述访问用户的网页；基于各所述访问请求，确定可信访问列表；所述可信访问列表中包括各所述访问用户中的可信访问用户及非可信访问用户；基于所述可信访问列表，确定内容安全策略CSP；所述CSP用于防范针对所述目标网页的点击劫持攻击。
[0007]可选地，所述基于各所述访问请求，确定可信访问列表，包括：针对每一个所述访问用户，读取所述访问请求中的目标字段；所述目标字段用于表征所述访问用户的地址信息；将所述地址信息与预设地址信息数据库进行匹配，基于匹配结果确定所述可信访问列表；所述预设地址信息数据库中存储有至少一个所述可信访问用户的地址信息。
[0008]可选地，所述将所述地址信息与预设地址信息数据库进行匹配，基于匹配结果确定所述可信访问列表，包括：
在所述地址信息与预设地址信息数据库中存储的所述可信访问用户的地址信息匹配成功的情况下，将所述访问用户确定为所述可信访问用户；在所述地址信息与预设地址信息数据库中存储的所述可信访问用户的地址信息匹配失败的情况下，将所述访问用户确定为所述非可信访问用户。
[0009]可选地，所述基于所述可信访问列表，确定内容安全策略CSP，包括：针对每一个所述访问用户，在所述访问用户为所述可信访问用户的情况下，针对所述访问用户确定第一CSP；其中，所述第一CSP包括为所述访问用户添加的第一响应头；所述第一响应头用于表示允许在所述目标网页显示所述访问用户的网页。
[0010]可选地，所述基于所述可信访问列表，确定内容安全策略，包括：针对每一个所述访问用户，在所述访问用户为所述非可信访问用户的情况下，针对所述访问用户确定第二CSP；所述第二CSP包括为所述访问用户添加的第二响应头；所述第二响应头用于表示在所述访问用户与所述目标网页同域名的情况下，允许在所述目标网页显示所述访问用户的网页。
[0011]可选地，所述访问用户利用超文本传输协议或超文本传输安全协议向所述目标网页发送所述访问请求。
[0012]本专利技术还提供一种点击劫持攻击的防范装置，包括：获取模块，用于从日志中获取至少一个访问用户的访问请求；所述访问用户为访问目标网页的用户；所述访问请求用于在所述目标网页显示所述访问用户的网页；第一确定模块，用于基于各所述访问请求，确定可信访问列表；所述可信访问列表中包括各所述访问用户中的可信访问用户及非可信访问用户；第二确定模块，用于基于所述可信访问列表，确定内容安全策略CSP；所述CSP用于防范针对所述目标网页的点击劫持攻击。
[0013]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述点击劫持攻击的防范方法。
[0014]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述点击劫持攻击的防范方法。
[0015]本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述点击劫持攻击的防范方法。
[0016]本专利技术提供的点击劫持攻击的防范方法、装置、电子设备及存储介质，通过从日志中获取至少一个访问用户的访问请求，然后基于各访问请求，确定可信访问列表；由于可信访问列表中包括各访问用户中的可信访问用户及非可信访问用户；因此，针对可信访问用户及非可信访问用户，可以确定出不同的内容安全策略，从而实现了针对不同的访问用户（即多个来源的地址）进行不同内容安全策略的click jacking攻击防范；同时，由于每一个访问用户都对应不同的内容安全策略，因此，用户无法通过任一内容安全策略，查看其他访问用户的信息，从而保证了用户的数据安全。
附图说明
[0017]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1是本专利技术提供的点击劫持攻击的防范方法的流程示意图之一；图2是本专利技术提供的点击劫持攻击的防范方法的流程示意图之二；图3是本专利技术提供的点击劫持攻击的防范装置的结构示意图；图4是本专利技术提供的电子设备的结构示意图。
具体实施方式
[0019]为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0020]为了便于更加清晰地理解本申请各实施例，首先对一些相关的背景知识进行如下介绍。
[0021]由于HTML框架能够被通过iframe框架的方式在其他网页中显示网页，因此形成了一个安全风险点。攻击者可以用隐藏的透明层覆盖原始网页，并使用期自己的Java本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种点击劫持攻击的防范方法，其特征在于，包括：从日志中获取至少一个访问用户的访问请求；所述访问用户为访问目标网页的用户；所述访问请求用于在所述目标网页显示所述访问用户的网页；基于各所述访问请求，确定可信访问列表；所述可信访问列表中包括各所述访问用户中的可信访问用户及非可信访问用户；基于所述可信访问列表，确定内容安全策略CSP；所述CSP用于防范针对所述目标网页的点击劫持攻击。2.根据权利要求1所述的点击劫持攻击的防范方法，其特征在于，所述基于各所述访问请求，确定可信访问列表，包括：针对每一个所述访问用户，读取所述访问请求中的目标字段；所述目标字段用于表征所述访问用户的地址信息；将所述地址信息与预设地址信息数据库进行匹配，基于匹配结果确定所述可信访问列表；所述预设地址信息数据库中存储有至少一个所述可信访问用户的地址信息。3.根据权利要求2所述的点击劫持攻击的防范方法，其特征在于，所述将所述地址信息与预设地址信息数据库进行匹配，基于匹配结果确定所述可信访问列表，包括：在所述地址信息与预设地址信息数据库中存储的所述可信访问用户的地址信息匹配成功的情况下，将所述访问用户确定为所述可信访问用户；在所述地址信息与预设地址信息数据库中存储的所述可信访问用户的地址信息匹配失败的情况下，将所述访问用户确定为所述非可信访问用户。4.根据权利要求1至3任一项所述的点击劫持攻击的防范方法，其特征在于，所述基于所述可信访问列表，确定内容安全策略CSP，包括：针对每一个所述访问用户，在所述访问用户为所述可信访问用户的情况下，针对所述访问用户确定第一CSP；其中，所述第一CSP包括为所述访问用户...

【专利技术属性】
技术研发人员：李哲祎，李雅男，张英男，
申请(专利权)人：北京仁科互动网络技术有限公司，
类型：发明
国别省市：