[发明专利]用于防止跨站脚本攻击的Web服务器及方法

说明书

技术领域

本发明涉及Web服务器及方法，更具体地，涉及用于防止跨站脚本攻击的Web服务器及方法。

背景技术

目前，随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富，浏览器和Web服务器之间进行安全的数据传输以防止跨站脚本攻击(即XSS,其指的是由于HTTP响应中包含了非法数据而导致浏览器执行恶意代码,从而获取用户的cookie数据(其是为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的数据)、并进而制造欺诈页面实现钓鱼攻击等等)变得越来越重要。

现有的两种防止跨站脚本攻击的方式如下：（1）将Web网页划分成不接收输入的入口网页和保护网页，客户端访问入口网页时，服务器端对用户授权并将授权数据送回客户端，而当客户端访问保护页面时，服务器端检查是否携带了授权数据，如果已授权则将该页面送回客户端，否则将请求重定向到入口网页；（2）在客户端的浏览器中安装过滤器以截取浏览器与服务器之间的HTTP请求和响应，并将请求中URL和POST数据的可疑部分与响应的页面内容进行匹配操作，从而判断响应是否包含XSS攻击。

然而，现有的技术方案存在如下问题：（1）针对第一种方式，由于没有对当已授权的客户端请求中可能包含恶意代码的情况进行处理，故难于避免针对服务器端的XSS攻击；（2）针对第二种方式，由于完全聚焦于客户端，即从客户端的角度识别反射式XSS攻击，并禁止脚本在客户端上执行，故没有从根源上消除XSS攻击，此外，由于过滤器被安装在客户端侧，故对浏览器的配置和性能的要求较高，另外，仅能够过滤现存已知的XSS漏洞，而出现新的XSS漏洞时需要更新客户端的过滤器，故维护成本较高。

因此，存在如下需求：提供能够有效地防止针对浏览器和/或Web服务器的跨站脚本攻击的Web服务器及方法。

发明内容

为了解决上述现有技术方案所存在的问题，本发明提出了能够有效地防止针对浏览器和/或Web服务器的跨站脚本攻击的Web服务器及方法。

本发明的目的是通过以下技术方案实现的：

一种防止跨站脚本攻击的Web服务器，所述防止跨站脚本攻击的Web服务器包括：

预处理单元,所述预处理单元接收到来自浏览器的HTTP请求后截获所述HTTP请求，并根据过滤器映射表确定是否需要执行针对所述HTTP请求的过滤操作，并且如果确定需要执行针对所述HTTP请求的过滤操作，则将所述HTTP请求传送到过滤器;

过滤器,所述过滤器接收到所述HTTP请求后根据预定的跨站脚本攻击判断规则和跨站脚本攻击处理规则执行针对所述HTTP请求的过滤操作，如果所述过滤操作的结果是“不满足跨站脚本攻击规则”，则将所述HTTP请求传送到Web资源处理单元，如果所述过滤操作的结果是“满足跨站脚本攻击规则且不中断Web资源请求”，则对所述HTTP请求进行转义处理并将经转义的HTTP请求传送到Web资源处理单元，如果所述过滤操作的结果是“满足跨站脚本攻击规则且中断Web资源请求”，则构造表示“Web浏览器公共报错页面”的HTTP应答并将该HTTP应答传送回所述浏览器以终止本次HTTP会话;

Web资源处理单元,所述Web资源处理单元解析并处理接收到的HTTP请求或经转义的HTTP请求以构造相应的HTTP应答，以及将所述HTTP应答传送到所述过滤器。

在上面所公开的方案中，优选地，通过Web应用部署描述符文件定义所述过滤器映射表，其中，所述过滤器映射表定义过滤器和HTTP请求之间的映射关系。

在上面所公开的方案中，优选地，所述跨站脚本攻击处理规则包括下列规则中的一个或多个：是否开启消息头校验、是否记录攻击日志、是否中断Web资源请求、是否转义非法数据，其中，是否中断Web资源请求和是否转义非法数据之间是互斥的。

在上面所公开的方案中，优选地，所述过滤操作包括下列步骤：

（1）加载并解析安全审核配置文件以获得所述预定的跨站脚本攻击判断规则和跨站脚本攻击处理规则，其中，所述预定的跨站脚本攻击判断规则是正则表达式的形式；