[发明专利]一种阻止XSS攻击的方法、系统及装置有效
| 申请号: | 201710416624.5 | 申请日: | 2017-06-06 |
| 公开(公告)号: | CN107301345B | 公开(公告)日: | 2019-12-06 |
| 发明(设计)人: | 黄旭 | 申请(专利权)人: | 新浪网技术(中国)有限公司 |
| 主分类号: | G06F21/54 | 分类号: | G06F21/54;H04L29/06 |
| 代理公司: | 11624 北京卓岚智财知识产权代理事务所(特殊普通合伙) | 代理人: | 任漱晨<国际申请>=<国际公布>=<进入 |
| 地址: | 100193 北京市海淀区东北旺西路中关村*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 阻止 xss 攻击 方法 系统 装置 | ||
1.一种阻止跨域脚本XSS攻击的方法,其特征在于,包括:
监控用户访问页面时网站服务器通过指定接口返回的页面数据,所述页面数据中包含防攻击注释标签;
防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签;
当浏览器将页面数据作为指定接口数据进行解析时,将所述防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为超文本标记语言HTML进行解析时,认为存在XSS攻击,执行所述防攻击注释标签实现网页跳转。
2.如权利要求1所述的方法,其特征在于,所述防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。
3.如权利要求1-2任一所述的方法,其特征在于,所述指定接口为JavaScript接口,所述防攻击注释标签为JavaScript注释标签;
相应的,当浏览器将页面数据作为JavaScript数据进行解析时,将所述JavaScript注释标签解析为JavaScript注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为HTML进行解析时,认为存在XSS攻击,执行JavaScript注释标签实现网页跳转。
4.一种阻止跨域脚本XSS攻击的装置,其特征在于,包括:
监控接收模块,用于监控用户访问页面时网站服务器通过指定接口返回的页面数据,所述页面数据中包含防攻击注释标签;
其中,接收到的防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签;
解析执行模块,用于当浏览器将页面数据作为指定接口数据进行解析时,将所述防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为超文本标记语言HTML进行解析时,认为存在XSS攻击,执行防攻击注释标签实现网页跳转。
5.如权利要求4所述的装置,其特征在于,所述监控接收模块,具体用于:
接收到的所述页面数据中包含的防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。
6.如权利要求4-5任一所述的装置,其特征在于,所述监控接收模块,具体用于:监控用户访问页面时网站服务器通过JavaScript接口返回的页面数据,所述页面数据中包含JavaScript注释标签;
相应的,解析执行模块,具体用于当浏览器将页面数据作为JavaScript数据进行解析时,将所述JavaScript注释标签解析为JavaScript注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为超文本标记语言HTML进行解析时,认为存在XSS攻击,执行JavaScript注释标签实现网页跳转。
7.一种阻止跨域脚本XSS攻击的系统,其特征在于,包括:浏览器和网站服务器;
所述浏览器中包括如权利要求4-6任一所述的阻止XSS攻击的装置;
所述网站服务器,用于当用户访问网页时,通过指定接口向浏览器返回包含防攻击注释标签的页面数据。
8.如权利要求7所述的系统,其特征在于,所述网站服务器,具体用于:
将所述防攻击注释标签添加在返回的页面数据正文的前边;所述防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于新浪网技术(中国)有限公司,未经新浪网技术(中国)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710416624.5/1.html,转载请声明来源钻瓜专利网。
