防御跨站脚本攻击的方法及装置制造方法及图纸
【技术实现步骤摘要】
防御跨站脚本攻击的方法及装置
本专利技术涉及网页设计领域,具体涉及一种防御跨站脚本攻击的方法及装置。
技术介绍
在Web开发中,随着用户可以输入的地方越来越多,用户输入导致的安全问题越来越严重。一种常见的安全问题即为跨站脚本攻击(CrossSiteScripting,XSS),XSS攻击是指恶意攻击者往Web页面里嵌入恶意html代码,当用户浏览该页面之时,嵌入其中的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击可以盗取用户的账号、获取管理员权限,造成非常严重的后果。如何快速、安全的解决XSS安全问题,在网页开发中显得非常重要。现有技术的一种方案是通过一些工具对线上服务进行扫描,扫描过程中会带上一些恶意的代码,如果返回的内容没有将这些恶意代码对应的内容去除或者转码,则网站存在XSS安全问题。这种方案虽然可以发现线上的一些问题,但有如下的缺点:代码上线后才进行扫描,有的安全漏洞可能已经被人利用;扫描是一个黑盒机制,不能发现所有的问题。现有技术的另一种方案是在后端的逻辑层对传递到网页设计模板里的用户界面(UserInterface,UI)变量进行统一转码...
【技术保护点】
一种防御跨站脚本攻击的方法,包括:对网页设计模板文件进行词法分析,获取模板文件中的用户界面UI变量;获取每个UI变量在模板文件中所处的语义环境;获取与每个UI变量所处的语义环境对应的转义方式;将所述转义方式添加到所述UI变量所在模板文件中以使得添加转义方式后的模板文件上线后,根据所述转义方式对相应的UI变量进行转义。
【技术特征摘要】
1.一种防御跨站脚本攻击的方法,包括:对网页设计模板文件进行词法分析,获取模板文件中的用户界面UI变量;获取每个UI变量在模板文件中所处的语义环境;获取与每个UI变量所处的语义环境对应的转义方式;将所述转义方式添加到所述UI变量所在模板文件中以使得添加转义方式后的模板文件上线后,根据所述转义方式对相应的UI变量进行转义;其中模板文件是嵌入了UI变量的html文件,将html文件中相同类型的语句或者语句的预定部分作为一种语义环境。2.如权利要求1所述的方法,其中,所述语义环境包括如下的一个或多个:HTML环境,此环境中UI变量使用在HTML页面标签中或标签属性值中;JS环境,此环境中UI变量使用在JS代码中;Data环境,此环境中UI变量使用在JS环境的innerHTML插入字符串中;url环境,此环境中UI变量使用在模板链接地址URL的参数中;event环境,此环境中UI变量使用在HTML页面标签的事件函数参数中;callback环境,此环境中UI变量为浏览器端传递过来的callback参数。3.如权利要求1或2所述的方法,其中,还包括:建立语义环境与转义方式的对应关系;所述获取与每个UI变量所处的语义环境对应的转义方式包括:根据所述对应关系获取与每个UI变量所处的语义环境对应的转义方式。4.如权利要求1所述的方法,其中,所述模板文件为Smarty模板文件。5.一种防御跨站脚本攻击的装置,包括:词法分...
【专利技术属性】
技术研发人员:李成银,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。