本发明专利技术公开了一种恶意攻击防止方法和浏览器,涉及互联网技术领域。该浏览器包括恶意攻击防止设备,该恶意攻击防止设备包括获取单元、检查单元、添加单元和保存单元,获取单元适于在用户登录网站时,获取服务器端生成的Cookie并发送给检查单元;检查单元适于检查Cookie中是否选定了防止恶意攻击的属性,如果该Cookie中没有选定防止恶意攻击的属性,将该Cookie发送给添加单元;添加单元适于在Cookie中添加防止恶意攻击的属性,然后发送给保存单元;保存单元适于保存接收的Cookie。采用本发明专利技术的技术方案,可以在浏览器侧防止恶意利用Cookie进行攻击,由此解决了当用户访问的网址的服务器端针对XSS的安全性不强时,用户Cookie中的信息可能被盗取、篡改,进而用户安全受到威胁的问题。
【技术实现步骤摘要】
本专利技术涉及互联网
,具体涉及一种恶意攻击防止方法和浏览器。
技术介绍
跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容,使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃取会话Cookie从而窃取网站用户的隐私,包括密码。Cookie指一些网站为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的数据,通常是经过加密的。Cookie是由服务器端生成,发送给浏览器端,浏览器会将Cookie 的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器。Cookie名称和值可以由服务器端定义,对于JSP而言也可以直接写入jsessionid, 这样服务器可以知道该用户是否是合法用户以及是否需要重新登录等。Cookie是用户对于特定网站的身份验证标志,Cookie包含了一些敏感信息,例如用户名,计算机名,使用的浏览器和曾经访问的网站等。用户不希望这些内容泄漏出去, 尤其是当其中还包含有私人信息的时候。然而XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户的Cookie被窃取,将会对网站引发巨大的危害。另外,当能够窃取到用户Cookie从而获取到用户身份时,攻击者可以获取到用户对网站的操作权限, 从而查看用户隐私信息。可见,需要提供一种防止利用Cookie进行恶意攻击的方案。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种恶意攻击防止方法和浏览器。依据本专利技术的一个方面,提供了一种恶意攻击防止方法,包括当用户登录网站时,浏览器获取服务器端生成的Cookie,检查该Cookie中是否选定了防止恶意攻击的属性;如果该Cookie中没有选定防止恶意攻击的属性,则浏览器在该Cookie中添加防止恶意攻击的属性,然后保存该Cookie ;如果该Cookie中选定了防止恶意攻击的属性,则浏览器直接保存该Cookie。可选地,该方法进一步包括维护一张统一资源定位符URL列表;该URL列表中保存了可以无故障地添加防止恶意攻击的属性的网站的URL ;浏览器获取服务器端生成的Cookie时进一步获取对应网站的URL,并使用所获取的URL查询所述URL列表,判断所述URL列表中是否存在所获取的URL,如果存在则浏览器执行所述检查该Cookie中是否选定了防止恶意攻击的属性的步骤以及后续步骤。可选地,该方法进一步包括如果所述URL列表中不存在所获取的URL,则浏览器不执行所述检查该Cookie中是否选定了防止恶意攻击的属性的步骤以及后续步骤,直接保存该Cookie。可选地,所述防止恶意攻击的属性包括“访问限制”属性和/或“安全”属性。依据本专利技术的另一方面,提供了一种浏览器,其包括恶意攻击防止设备,该设备包括获取单元、检查单元、添加单元、保存单元,其中所述获取单元,适于在用户登录网站时,获取服务器端生成的Cookie,并发送给检查单元;所述检查单元,适于检查Cookie中是否选定了防止恶意攻击的属性,如果该 Cookie中没有选定防止恶意攻击的属性,将该Cookie发送给添加单元;所述添加单元,适于在Cookie中添加防止恶意攻击的属性,然后发送给保存单元;所述保存单元,适于保存所接收的Cookie。可选地,所述检查单元,进一步适于在Cookie中选定了防止恶意攻击的属性时, 将该Cookie直接发送保存单元。可选地,该设备进一步包括列表存储单元和查询列表单元;所述列表存储单元,适于保存统一资源定位符URL列表d_URL列表中保存了可以无故障地添加防止恶意 攻击的属性的网站的URL ;所述获取单元,适于在用户登录网站时,获取服务器端生成的Cookie的同时,进一步获取对应网站的URL,将该URL与Cookie —并发送给查询列表单元;所述查询列表单元,适于使用所接收的URL查询列表存储单元中的URL列表,判断所述URL列表中是否存在所接收的URL,如果存在则将所接收的Cookie发送给检查单元。可选地,所述查询列表单元,进一步适于在所述URL列表中不存在所接收的URL 时,将所接收的Cookie直接发送保存单元。可选地,所述添加单元,适于在Cookie中添加“访问限制”属性和/或“安全”属性,然后发送给保存单元。根据本专利技术的这种当用户登录网站时,浏览器获取服务器端生成的Cookie,检查该Cookie中是否选定了防止恶意攻击的属性,如果该Cookie中没有选定防止恶意攻击的属性,则浏览器在该Cookie中添加防止恶意攻击的属性,然后保存该Cookie的技术方案, 可以在浏览器侧防止恶意利用Cookie进行攻击,由此解决了当用户访问的网址的服务器端针对XSS的安全性不强时,用户Cookie中的信息可能被盗取、篡改,进而用户安全受到威胁的问题。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段, 而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1示出了根据本专利技术一个实施例的一种恶意攻击防止方法的流程图2示出了根据本专利技术一个实施例的又一种恶意攻击防止方法的流程图3示出了根据本专利技术一个实施例的一种恶意攻击防止设备的结构图4示出了根据本专利技术一个实施例的又一种恶意攻击防止设备的结构图5示出了根据本专利技术一个实施例的一种浏览器的结构图。具体实施方式Cookie是用户对于特定网站的身份验证标志。服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态。Cookies最典型的应用是判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续,这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品,这些信息都会写入Cookies,以便在最后付款时提取信息。Cookie可以保持登录信息到用户下次与服务器的会话,换句话说,下次访问同一网站时,用户会发现 不必输入用户名和密码就已经登录了。而还有一些Cookie在用户退出会话的时候就被删除了,这样可以有效保护个人隐私。Cookie在生成时就会被指定一个 Expire值,这就是Cookie的生存周期,在这个周期内Cookie有效,超出周期Cookie就会被清除。在一台计算机中安装多个浏览器,每个浏览器都会在各自独立的空间存放 Cookie。因为Cookie中不但可以确认用户,还能包含计算机和浏览器的信息,所以一个用户用不同的浏览器登录或者用不同的计算机登本文档来自技高网...
【技术保护点】
一种恶意攻击防止方法,其中,包括:当用户登录网站时,浏览器获取服务器端生成的Cookie,检查该Cookie中是否选定了防止恶意攻击的属性;如果该Cookie中没有选定防止恶意攻击的属性,则浏览器在该Cookie中添加防止恶意攻击的属性,然后保存该Cookie;如果该Cookie中选定了防止恶意攻击的属性,则浏览器直接保存该Cookie。
【技术特征摘要】
1.一种恶意攻击防止方法,其中,包括 当用户登录网站时,浏览器获取服务器端生成的Cookie,检查该Cookie中是否选定了防止恶意攻击的属性; 如果该Cookie中没有选定防止恶意攻击的属性,则浏览器在该Cookie中添加防止恶意攻击的属性,然后保存该Cookie ; 如果该Cookie中选定了防止恶意攻击的属性,则浏览器直接保存该Cookie。2.如权利要求1所述的方法,其中,该方法进一步包括 维护一张统一资源定位符URL列表;该URL列表中保存了可以无故障地添加防止恶意攻击的属性的网站的URL ; 浏览器获取服务器端生成的Cookie时进一步获取对应网站的URL,并使用所获取的URL查询所述URL列表,判断所述URL列表中是否存在所获取的URL,如果存在则浏览器执行所述检查该Cookie中是否选定了防止恶意攻击的属性的步骤以及后续步骤。3.如权利要求2所述的方法,其中,该方法进一步包括 如果所述URL列表中不存在所获取的URL,则浏览器不执行所述检查该Cookie中是否选定了防止恶意攻击的属性的步骤以及后续步骤,直接保存该Cookie。4.如权利要求1至3中任一项所述的方法,其中, 所述防止恶意攻击的属性包括“访问限制”属性和/或“安全”属性。5.一种浏览器,包括恶意攻击防止设备,所述恶意攻击防止设备包括获取单元、检查单元、添加单元和保存单元,其中 所述获取单元,适于在用户登录网站时,获取服务器端生成的Cookie,并发送给检查...
【专利技术属性】
技术研发人员:党壮,任寰,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。