[发明专利]提供针对跨域交互的运行时脆弱性防护的方法和系统

权利要求书

1.一种用于为Web应用提供针对跨域交互的运行时脆弱性防护的方 法，所述方法包括：

由Web应用创建第一iFrame对象和第二iFrame对象，其中所述第 一和第二iFrame对象同属于Web应用所在的低级域；

由所述第一iFrame对象创建一个对象，并使所述第二iFrame共享所 述所创建的对象；

将所述第二iFrame对象所属的域提升为上级域；

在所述共享对象中，由所述第二iFrame对象创建一个源访问功能， 用于向第三方服务器提交访问其上的内容的请求；以及

在所述共享对象中，由所述第一iFrame对象创建一个净化功能，用 于对由所述第二iFrame对象从第三方服务器接收的响应进行净化。

2.根据权利要求1所述的方法，进一步包括：

由所述第一iFrame对象将用于访问第三方服务器的内容的请求传送 到所述源访问功能；

由所述源访问功能向第三方服务器提交所述请求；

由所述第二iFrame对象从第三方服务器接收所需内容；

由所述净化功能从所述第二iFrame对象接收所述内容并过滤其中的 潜在恶意代码；以及

由所述第一iFrame对象从所述净化功能接收过滤后的所述内容。

3.根据权利要求1所述的方法，其中所述方法通过由Web应用接收 的JavaScript逻辑来激活。

4.根据权利要求1所述的方法，其中所述方法由Web应用防火墙来 实现。

5.根据权利要求1所述的方法，其中所述方法由客户端插件或者由服 务器端的代理来实现。

6.根据权利要求1所述的方法，其中所述低级域是用于实际获取并向 用户呈现第三方服务器的内容的域。

7.根据权利要求1所述的方法，其中所述上级域是虚拟域，该虚拟域 中不包含任何有用数据。

8.一种用于为Web应用提供针对跨域交互的运行时脆弱性防护的系 统，所述系统包括：

用于由Web应用创建第一iFrame对象和第二iFrame对象的装置， 其中所述第一和第二iFrame对象同属于Web应用所在的低级域；

用于由所述第一iFrame对象创建一个对象，并使所述第二iFrame共 享所述所创建的对象的装置；

用于将所述第二iFrame所属的域提升为上级域的装置；

用于在所述共享对象中，由所述第二iFrame对象创建一个源访问功 能的装置，所述源访问功能用于向第三方服务器提交访问其上的内容的请 求；以及

用于在所述共享对象中，由所述第一iFrame对象创建一个净化功能 的装置，所述净化功能用于对由所述第二iFrame对象从第三方服务器接 收的响应进行净化。

9.根据权利要求8所述的系统，进一步包括：

用于由所述第一iFrame对象将用于访问第三方服务器的内容的请求 传送到所述源访问功能的装置；

用于由所述源访问功能向第三方服务器提交所述请求的装置；

用于由所述第二iFrame对象从第三方服务器接收所需内容的装置；

用于由所述净化功能从所述第二iFrame对象接收所述内容并过滤其 中的潜在恶意代码的装置；以及

用于由所述第一iFrame对象从所述净化功能接收过滤后的所述内容 的装置。

10.根据权利要求8所述的系统，其中所述系统的操作通过由Web 应用接收的JavaScript逻辑来激活。

11.根据权利要求8所述的系统，其中所述系统被实现为Web应用防 火墙。

12.根据权利要求8所述的系统，其中所述系统被实现为客户端插件 或者服务器端的代理。

13.根据权利要求8所述的系统，其中所述低级域是用于实际获取并 向用户呈现第三方服务器的内容的域。

14.根据权利要求8所述的系统，其中所述上级域是虚拟域，该虚拟 域中不包含任何有用数据。