[发明专利]一种网络信息处理方法及防火墙装置、系统

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种网络信息处理方法及防火墙装置、系统。

背景技术

Cross Site Scripting(CSS又叫XSS，跨站脚本攻击)，是指攻击者往Web(World Wide Web，万维网)页面插入恶意的脚本代码，当用户启用浏览器访问该页面时，恶意的脚本代码会被执行并攻击用户。为了防止跨站脚本对用户浏览器所访问页面的攻击，出现了Content Security Policy(CSP，内容安全策略)，CSP主要是用来定义页面可以加载哪些资源。CSP旨在减少一种内容注入，这种内容比如说XSS跨站脚本。CSP是一种由开发者定义的公开的安全性策略申明。简单来说，CSP所约束的规则可以指定可信的来源内容，如脚本、图片、iframe(内联框架元素)、style(样式)等可能的远程资源。

在Web上，CSP策略是通过HTTP(超文本传输协议)Header(头)元素或者HTML((Hyper Text Mark-up Language，超文本标记语言或超文本链接标示语言)Meta(元)元素定义的。HTTP Header是在Response Header中增加一个Header来指定，而HTML Meta则是由Meta标签来指定。

HTTP Header：

“Content-Security-Policy”:策略

“Content-Security-Policy-Report-Only”:策略

Content-Security-Policy头部可以指定一个或多个资源是安全的，而Content-Security-Policy-Report-Only则是允许服务器检查(非强制)一个策略。多个头的策略定义优先采用最先定义的。

HTML Meta所用的Meta标签与HTML Header的作用是一样的，都是优先采用最先定义的策略，只是形式不同而已。如果HTTP Header和HTML Meta同时指定，则采用HTTP Header中定义的策略。如果用户浏览器已经为当前文档执行了一个CSP策略，则会跳过Meta的定义。如果Meta标签缺少CSP策略同样也会跳过。为了防止人为的CSP策略注入，应该将Meta元素放在文档的开始位置来使策略生效。

CSP能在一定程度上防止普通的内容注入漏洞，但是并不能完全杜绝这类漏洞。

CSP防御策略还在逐渐完善中，暴露出来的缺点也是显而易见的：一，主要通过HTTP Header或HTML Meta来实现，策略的配置都必须在服务器端部署，修改策略都需要重启服务器，维护起来会比较麻烦；二，由于内容策略都是一些公开的策略，会有一定的局限性，不够灵活，不能设置一些自定义的规则；三，尽管目前主流浏览器都能够支持CSP，而IE10、11部分支持。但是对于IE10之前的浏览器，就无法适用了。

Web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Web应用防火墙就是通过分析应用层用户的http请求数据，包括URL(Universal Resource Locator，统一资源定位符)、参数、Cookie(临时文件)、Headers、请求实体等，来识别恶意用户的攻击行为，并对恶意行为进行实时防御或者报警。

Web应用防火墙能够对包括脚本注入等一些常见的针对应用层漏洞的攻击进行有效的防范。常见的Web应用防火墙在安全防护体系中的位置和作用如图1所示。如图1可知，现有的Web应用防火墙的处理方法包括以下步骤：

101、客户端发送HTTP请求到服务器；

102、服务器将请求分发到防火墙引擎；

103、防火墙会根据预先设置好的攻击行为的规则去匹配这个请求，如果匹配上，则执行步骤104，没有匹配上，则执行步骤105；

104、认为是攻击行为，会进行拦截或者报警处理，结束；

105、交由Web服务器正常处理，结束。

尽管Web应用防火墙如此强大，但是还是不可避免有一些缺点。一，匹配规则不好定，太少的话会有漏报，太多的话又会影响服务器性能；二，部署麻烦，一旦修改规则就需要重启服务器，维护起来不太方便；在防护XSS方面，只能够防护反射型XSS，对于存储型XSS就无能为力了。并且由于Web应用防火墙是基于字符特征的，防护准确率不高。

由上可知，现有技术在防护XSS方面还不尽如人意，因此如何设置出新的防护装置和防护方法，成为技术人员需要考虑的问题。

发明内容