实施例涉及用于在内容传递系统中抑制跨站点脚本的系统方法以及计算机存储介质。接收对于包括一个或数个脚本项的内容的请求。在内容内识别脚本项。在脚本元素是期望与内容相关联的脚本元素时,将标识与脚本元素相关联。标识可以是基于哈希函数和脚本项的哈希值。在把内容传送给用户以前,再次识别脚本项以确定标识是否与脚本项相关联。如果标识与脚本项相关联,则评估标识以确定标识是否适当。当确定标识不适当时,阻止把脚本项传送给用户。
【技术实现步骤摘要】
动态内容中的跨站点脚本阻止
技术介绍
传统上,跨站点脚本是互联网可访问内容内发现的安全漏洞。第三方可以利用跨站点脚本漏洞获取个人数据或者诱骗末端用户执行恶意动作。例如,可以利用跨站点脚本漏洞窃取末端用户的互联网资料(cookie),这可能允许第三方访问与互联网资料相关联的末端用户账户。类似地,跨站点脚本漏洞可能允许第三方诱骗末端用户访问或传播恶意软件。先前,通过清洁可能含有可以传送给末端用户的编码内容的内容部分地阻止了跨站点脚本。不幸地,清洁过程只提供对于已知存在或已知潜在存在的这些漏洞的缓解。如果第三方在编码互联网内容之前识别新漏洞以及利用该漏洞,则末端用户可能沦为跨站点脚本攻击的受害者。
技术实现思路
本专利技术的实施例涉及用于识别用户请求的内容内的脚本项的计算机存储介质、方法、以及系统。可以执行脚本项的识别以对脚本项应用唯一标识和/或以确定与脚本项相关联的唯一标识是否适当。可以使用标识识别内容内的授权脚本元素以及与未授权脚本元素区分。本专利技术的实施例构思了至少部分地根据脚本元素的元素内容的哈希函数确定的标识。当确定标识适当时,可以把脚本项传送给用户。然而,当确定标识并不适当时,可以阻止把脚本项传送给用户。提供此
技术实现思路
以介绍下面在具体实施方式中进一步描述的简化形式的概念的选择。此
技术实现思路
并非意在识别要求保护主题的必要特征或关键特征,它也并非意在用作协助确定要求保护主题的范围。附图说明下面参照经引用并入本文的附图详细描述本专利技术的示例性实施例,在附图中 图1描绘了适合实施本专利技术实施例的示范性运算设备;图2描绘了示例了可以采用本专利技术实施例的示范性系统的方框图; 图3描绘了按照本专利技术实施例的、用于在内容传递系统中抑制跨站点脚本的示范性方法的流程图4描绘了按照本专利技术实施例的、用于在内容传递系统中采用哈希函数确定脚本项不正确的方法的流程图;以及图5描绘了按照本专利技术实施例的、用于阻止跨站点脚本攻击的方法的流程图。具体实施例方式在本文中以具体性描述本专利技术实施例的主题以符合法定需求。然而,描述本身并非意在限制本专利的范围。而是,专利技术人构思了也可以通过其它方式实施要求保护的主题, 以结合其它目前或未来技术,包括与本文件中描述的步骤类似的步骤的组合或不同步骤。本专利技术的实施例涉及用于识别用户请求的内容内的脚本项的计算机存储介质、方法、以及系统。可以执行脚本项的识别以对脚本项应用唯一标识和/或以确定与脚本项相关联的唯一标识是否适当。可以使用标识识别内容内的授权脚本元素以及与未授权脚本元素区分。本专利技术的实施例构思了至少部分地根据脚本元素的元素内容的哈希函数确定的标识。当确定标识适当时,可以把脚本项传送给用户。然而,当确定标识并不适当时,可以阻止把脚本项传送给用户。相应地,在一个方面中,本专利技术提供了采用处理器和存储器的运算环境中的方法, 用于在内容传递系统中抑制跨站点脚本。方法包括识别用户请求的内容内的脚本项。方法还包括确定脚本项包括标识。能够使用标识识别内容内的未授权脚本元素。方法还包括确定标识是否是适当标识。当确定标识适当时,把脚本项传送给用户。进一步地,当确定标识并不适当时,可以阻止把脚本项传送给用户。在另一方面中,本专利技术提供了计算机存储介质,具有其上实施的计算机可执行指令,当通过具有处理器和存储器的运算系统执行该计算机可执行指令时,使得运算系统执行方法。方法包括从用户接收内容的请求。方法还包括确定内容脚本项的第一哈希值。第一哈希值基于哈希函数和脚本项。方法还包括把第一哈希值应用于脚本项。进一步地,方法包括确定脚本项的第二哈希值。可以在紧接把脚本项传送给用户以前确定第二哈希值。 第二哈希值基于哈希函数和脚本项。方法还包括基于第一哈希值和第二哈希值确定脚本项并不正确。例如,第一哈希值和第二哈希值可能缺少指定的彼此关系。本专利技术的第三方面提供了方法。方法包括从用户接收对标记语言内容的标记语言请求,通过与运算系统相关联的服务器提供标记语言内容。响应于接收标记语言请求,方法包括生成唯一标识。额外地,方法包括在标记语言内容内识别第一脚本项。方法还包括把唯一标识关联到第一脚本项。在把内容传送给用户以前,方法包括识别要向用户传送的一个或更多个脚本项,其中,一个或更多个脚本项包括第一脚本项。进一步地,方法包括确定一个或更多个脚本项的第二脚本项未与唯一标识相关联。另外,方法包括阻止第二脚本项向用户的传送。额外地,方法包括在把第一标识传送给用户以前去除第一脚本项与唯一标识之间的关联。方法还包括把第一脚本项传送给用户。简要描述了本专利技术实施例的概况,下面描述用于实施其实施例的示范性操作环^Mi O总体上参照附图、以及特别地初始参照图1,示出了的适合实施本专利技术实施例的示范性操作环境,总体上指示为运算设备100。运算设备100只是合适运算环境的一个实例, 并非意在建议对于本专利技术功能性或使用范围的任何限制。也不应当把运算设备100解释成具有与示例的模块/组件中的任何一个或组合有关的任何依赖性或要求。可以在包括计算机或其它机器(如,个人数据助理或其它手持设备)执行的诸如程序模块的计算机可执行指令在内的机器可用指令或计算机代码的总体上下文描述实施例。 通常,包括例程、程序、对象、模块、数据结构等的程序模块是指执行特定任务或者实施特定抽象数据类型的代码。可以在包括手持设备、消费类电子产品、通用计算机、专业运算设备、 分布式运算环境、服务器、客户端侧计算机等的各种系统配置中实践实施例。也可以在通过通信网络链接的远程处理设备执行任务的分布式运算环境中如先前所提到的实践实施例。继续参照图1,运算设备100包括直接或间接耦合以下设备的总线110 存储器112、一个或更多个处理器114、一个或更多个呈现模块116、输入/输出(I/O)端口 118、I/ 0模块120、以及示例性电源122。总线110代表可以是一个或更多个总线(如,地址总线、 数据总线、或者其组合)的内容。虽然为了清楚起见用线示出了图1的各种框,但现实中,勾画各种模块并非如此清楚,比方说,线将会更准确地是灰色和模糊的。例如,可以认为诸如显示设备的呈现模块是I/O模块。另外,处理器具有存储器。本专利技术人在此认识到了这种是本领域的本质,重申图1的图仅示例可以结合一个或更多个实施例使用的示范性运算设备。在诸如“工作站”、“服务器”、“膝上型电脑”、“手持设备”等之间不做区别,因为它们全部在图1的范围内构思到并表示为“计算机”或“运算设备”。运算设备100典型地包括各种计算机可读介质。通过实例而非限制的方式,计算机可读介质可以包括随机存取存储器(RAM);只读存储器(ROM);电可擦除可编程只读存储器(EEPROM) ‘闪存或其它存储器技术;⑶ROM、数字多动能盘(DVD)或者其它光学或全息介质;磁盒、磁带、磁盘存储或其它磁存储设备、或者可以用来编码期望的信息以及可以通过运算设备100访问的任何其它非临时性介质。存储器112包括易失性和/或非易失性存储器形式的计算机存储介质。存储器可以可移除、不可移除、或者其组合。示范性硬件设备包括固态存储器、硬盘驱动器、光盘驱动器等。运算设备100包括从诸如存储器112或I/O模块120的各种实体读取数据的一个或更多个处理器。呈现模块116向用户或其它设备呈现数据指示。示范性呈本文档来自技高网...
【技术保护点】
1. 一种采用处理器和存储器的运算环境中的方法,用于在内容传递系统中抑制跨站点脚本,该方法包括:识别(302)用户请求的内容内的脚本项;确定(304)脚本项包括标识,其中,标识能够用于识别内容内的未授权脚本元素;以及确定(306)标识是否是适当的标识;a)当确定标识是适当的时(310),把脚本项传送给用户;b)当确定标识不适当时(308),阻止把脚本项传送给用户。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:M安德鲁斯,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。