[发明专利]检测HTTP响应头的方法、系统、装置及可读存储介质

说明书

本发明公开一种检测HTTP响应头的方法，包括：(1)通过Java代理拦截服务端的处理请求程序所对应的Java类文件，并由Java类文件中获取插桩入口；(2)将检测字节码注入插桩入口；(3)将注入检测字节码的Java类文件返回至服务端；(4)获取服务端返回给客户端的响应数据；(5)通过Java反射获取响应数据中的HTTP响应头，以判断HTTP响应头是否为安全的HTTP响应头。本发明同时公开一种检测HTTP响应头的系统、装置及计算机可读存储介质。本发明基于Java字节码插桩技术获取HTTP响应数据，然后再利用Java反射获取HTTP响应数据中的HTTP响应头，从而对HTTP响应头进行检测，提高了检测结果的准确性，避免了通过人为分析导致的操作复杂、检测速率低、准确率低、实时性差及成本高的问题。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种检测HTTP响应头的方法、系统、装置及计算机可读存储介质。

背景技术

在Web通信中，客户端发送请求信息至服务端后，服务端将会返回相应的HTTP(Hyper Text Transfer Protocol，超文本传输协议)响应至客户端，HTTP响应包括状态行、若干响应头及实体内容。其中，HTTP响应头包括HSTS(HTTP Strict Transport Security，HTTP严格传输安全)头、X-Frame-Options(X框架，选项)头、X-XSS-Protection(X-XSS保护)头、X-Content-Type-Options(X-Content-Type的选项)头、Content-Security-Policy(内容安全策略)头、Referrer-Policy(引用策略)头及Content-Type(内容类型)头等。

其中，HSTS是一个安全功能，HSTS会告知浏览器只能通过HTTPS访问当前资源，而禁止HTTP方式；由于HTTP请求中的数据是以明文进行传输，该方式会存在被攻击者获取重要信息、甚至信息被篡改的风险。X-Frame-Options是用来指示浏览器允许一个页面可否在frame、iframe或者object中展现的标记；若X-Frame-Options为不安全的响应头，则会存在点击劫持(click jacking)的风险。X-XSS-Protection用于在检测到跨站脚本攻击(XSS)时，使浏览器停止加载页面；若X-XSS-Protection为不安全的响应头，则会存在反射跨站点脚本攻击(XSS)的风险。X-Content-Type-Options相当于一个提示标志，被服务端用来提示客户端一定要遵循在Content-Type首部中对MIME(Multipurpose Internet MailExtensions，多用途互联网邮件扩展类型)类型的设定，而不能对其进行修改，以禁用客户端的MIME类型嗅探行为，防止出现基于MIME类型混淆的攻击，从而确保用户端上传/下载文件的安全性。Content-Security-Policy用于指示允许站点管理者控制用户代理能够为指定的页面加载哪些资源，以防止跨站脚本攻击。Referrer-Policy用于监管访问来源信息，如果未设置安全的Referrer-Policy，用户的隐私可能会受到侵犯，甚至存在第三方网站收集用户的信息的风险。Content-Type用于在响应中告知客户端实际返回的内容的内容类型，当攻击者结合跨站点脚本攻击时，应用程序则会受到MIME混淆攻击。

现阶段，主要通过利用抓包工具来抓取响应头，再通过人为分析HTTP响应头，从而检测出响应头中是否存在相应的HSTS字段/X-Frame-Options字段/X-XSS-Protection字段/X-Content-Type-Options字段/Content-Security-Policy字段/Referrer-Policy字段/Content-Type字段，或者响应头中相应的字段是否安全。该方式存在操作复杂，分析速度慢、准确率低、耗费人力成本和时间成本高等缺陷。

发明内容

本发明的目的在于提供一种检测HTTP响应头的方法、系统、装置及计算机可读存储，以快速、准确地对HTTP响应头进行检测。