[发明专利]一种用于防范React前端框架的跨站脚本攻击XSS的方法及系统

说明书

本发明公开了一种用于防范React前端框架的跨站脚本攻击XSS的方法及系统，包括：根据设置的过滤规则配置DOMParser接口文件；对用户提交的请求进行预处理，并将经过预处理的请求发送至服务器，以接收源码文件；利用DOMParser接口对接收的源码文件中包含的预设的关键字进行过滤处理，以过滤掉恶意代码，防范跨站脚本攻击XSS。本发明通过自定义过滤标签和属性确定过滤规则，并根据过滤规则对DOMParser接口进行配置，利用React的特性，封装成即插即用的工具组件，方便程序内部的调用，运用灵活，解析效率高，渲染速度快；使用DOMParser的HTMLParser方法，可以有效地过滤掉恶意代码，防止XSS攻击，并且DOMParser具有较高的过滤性能，使用DOMParser可以在一定程度上提升页面的加载速度，提高用户的上网体验。

技术领域

本发明涉及Web技术领域，并且更具体地，涉及一种用于防范React前端框架的跨站脚本攻击XSS的方法及系统。

背景技术

在科学技术日新月异发展的今天，计算机在人们的日常生活中发挥重要的作用，但是计算机在带来便利的同时也伴随着安全威胁。网络是人与世界交互的媒介，通过网络人们可以在网上购物，娱乐，办公，传递信息等，无形之中，人们在网上产生大量的数据，包括很多重要的数据，如个人隐私、具有商业价值的企业资料、国家机密。在这些重要数据的诱惑下，一些不法分子在网上实施各种网络攻击，以达到盗窃数据或权限的目的。其中，XSS攻击是网络上最常见的攻击手段之一。

跨站脚本攻击(Cross-Site Scripting,XSS)是一类注入问题，恶意脚本被注入到健康的、可信任的网站。当一个攻击者通过一个网站应用程序，以浏览器端脚本的形式，给另一端的用户发送恶意代码时，XSS攻击就发生了。允许这种攻击成功的缺陷广泛存在于各个大小网站，只要这个网站某个页面将用户的输入包含在它生成的动态输出页面中并且未经验证或编码转义，这个缺陷就存在。攻击者使用XSS发送恶意脚本给一个不持怀疑态度的用户，用户端的浏览器没法知道脚本可不可信，从而执行该js脚本。因为浏览器认为该脚本来自于一个可信赖的网站，导致恶意脚本可以访问任何cookies信息、会话令牌、或者其他由浏览器保存的敏感信息，甚至可以修改当前网页内容。

因此，需要一种能够防范XSS攻击的方法。

发明内容

本发明提出一种用于防范React前端框架的跨站脚本攻击XSS的方法及系统，以解决如何防范跨站脚本攻击XSS的问题。

为了解决上述问题，根据本发明的一个方面，提供了一种用于防范React前端框架的跨站脚本攻击XSS的方法，其特征在于，所述方法包括：

根据设置的过滤规则配置DOMParser接口文件；

对用户提交的请求进行预处理，并将经过预处理的请求发送至服务器，以接收源码文件；

利用DOMParser接口对接收的源码文件中包含的预设的关键字进行过滤处理，以过滤掉恶意代码，防范跨站脚本攻击XSS。

优选地，其中所述过滤规则包括：

根据预设的关键字利用start()函数获取源码文件中字符串的标签、属性和标签类型；

利用end()函数闭合获取的源码文件中字符串的标签；

利用chars()函数获取源码文件中字符串的标签内的文本，并将所述文件进行拼接后返回到results中；

利用comment()函数获取与预设的关键字对应的注释，并将所述注释进行拼接后返回到results中。

优选地，其中所述对用户提交的请求进行预处理，包括：