[发明专利]一种阻止XSS攻击的方法、系统及装置

说明书

本发明实施例提供一种阻止XSS攻击的方法、系统及装置，该方法包括：监控用户访问页面时网站服务器通过指定接口返回的页面数据，所述页面数据中包含防攻击注释标签；当浏览器将页面数据作为指定接口数据进行解析时，将所述防攻击注释标签解析为注释信息，并继续正常解析页面数据的后续内容；当浏览器将页面数据作为HTML进行解析时，认为存在XSS攻击，执行所述防攻击注释标签实现网页跳转。能够有效的防止XSS攻击，在有可能存在XSS攻击时，及时跳转，避免用户受到有害攻击。

技术领域

本发明涉及网络安全技术领域，尤指一种阻止跨域脚本攻击(cross-sitescripting，XSS)的方法、系统及装置。

背景技术

随着网络技术的发展，越来越多的用户使用浏览器浏览网站发布的网页，而在用户浏览网页内容时，网站通常需要使用JavaScript(JS)接口返回数据供用户浏览器进行渲染，以便浏览器将数据展示给用户。

在这个过程中，如果数据返回的结果不当，可能造成用户被XSS攻击。通常情况下，攻击者试图让用户将这些JS接口当做页面解析，而JS和超文本标记语言(HyperTextMarkup Language，HTML)的语法不同，给了攻击者可乘之机。

为了防止XSS攻击，挺高网络安全性，目前常用的做法包括以下两种：

一是对返回的超文本传输协议(HyperText Transfer Protocol，HTTP)头中的内容类型(Content-type)进行修改，使浏览器拒绝将此统一资源定位符(UniversalResource Locator，URL)作为页面打开和渲染。

二是对返回的内容进行转义，防止特殊的字符出现。

上述的两种方法都是被广泛使用的，但是却存在缺点：如果使用第一种方式，部分老旧的浏览器无法正确处理Content-type，又或者是，可以使用某些攻击手段，使用户将上述JS接口当作页面进行渲染，从而不能有效的防止XSS攻击。尤其是旧版浏览器中这种确定表现的比较明显。

如果使用第二种方式，对于用户传入的内容进行转义是可行的，但是却可能影响一些既有的用法和功能；另一方面，对于本身输出的内容，由于JS和HTML的语法区别，可能本身存储了足以触发XSS的字符。例如，攻击者可以通过某些方法，典型的如留言板，使用户访问到一个如下的接口：callback({“content”:“<script src＝http://hacked.com/hacked.js></script>”})；从而可以继续实施攻击，因此，这种方式也不能有效的防止XSS攻击。

可见，现有技术中的用于防止XSS攻击的方式都存在其弊端，都不能十分有效地防止XSS攻击，网络安全不能得到有效保障，安全性差。

发明内容

本发明实施例提供一种阻止XSS攻击的方法、系统及装置，用以解决现有技术中存在的不能有效阻止XSS攻击、JS接口使用过程中安全性差、网络安全不能得到保障的问题。

一方面，本发明实施例提供了一种阻止XSS攻击的方法，包括：

监控用户访问页面时网站服务器通过指定接口返回的页面数据，所述页面数据中包含防攻击注释标签；

当浏览器将页面数据作为指定接口数据进行解析时，将所述防攻击注释标签解析为注释信息，并继续正常解析页面数据的后续内容；

当浏览器将页面数据作为超文本标记语言HTML进行解析时，执行所述防攻击注释标签实现网页跳转。

在一些可选的实施例中，所述防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。

在一些可选的实施例中，所述防攻击注释标签中的防攻击标签用于实现页面跳转，所述防攻击注释标签中的注释包围所述防攻击标签。