[发明专利]一种避免Web程序存在XSS漏洞的开发系统及方法

说明书

本发明涉及软件开发技术领域，具体为一种避免Web程序存在XSS漏洞的开发系统及方法，该方法包括：框架预处理步骤，所述框架预处理步骤包括：模板引擎调节步骤，对模板引擎的返回文件得的文件格式进行拓展，建立新的返回文件的文件格式；动态参数处理步骤，对于采用新的文件格式的返回文件进行检测，筛选出动态参数，并对动态参数进行预防处理操作；业务逻辑调整步骤，设置业务逻辑层的逻辑视图为采用新的文件格式的返回文件。本发明提供的一种避免Web程序存在XSS漏洞的开发系统及方法，可以避免程序出现XSS问题，无需进行额外的代码处理，提高应用系统的开发效率。

技术领域

本发明涉及软件开发技术领域，具体为一种避免Web程序存在XSS漏洞的开发系统及方法。

背景技术

跨站脚本攻击(XSS)，是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

攻击者可以使用户在浏览器中执行其预定义的恶意脚本，其导致的危害可想而知，如劫持用户会话，插入恶意内容、重定向用户页面、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫，甚至破坏网站、修改路由器配置信息等。

XSS漏洞可以追溯到上世纪90年代。大量的网站曾遭受XSS漏洞攻击或被发现此类漏洞，如Twitter、Facebook、MySpace、Orkut、新浪微博和百度贴吧。研究表明，最近几年XSS已经超过缓冲区溢出成为最流行的攻击方式，有68％的网站可能遭受此类攻击。根据开放网页应用安全计划(OpenWebApplicationSecurityProject)公布的2010年统计数据，在Web安全威胁前10位中，XSS排名第2，仅次于代码注入(Injection)。

为了避免XSS漏洞，在应用开发过程中需要对用户的每个输入都要进行额外的代码处理，对应的也要进行相应的XSS测试，这无疑会增加开发的内容，降低开发的效率，提高开发难度，对新人程序员来说，难度较高。另一方面，对用户每个输入都进行处理后，会导致用户原始输入数据丢失，无法满足一些特定场景的需求。

发明内容

为了解决上述技术问题，本发明提供了一种避免Web程序存在XSS漏洞的开发系统及一种避免Web程序存在XSS漏洞的开发方法。

本申请提供如下技术方案：

一种避免Web程序存在XSS漏洞的开发方法，包括框架预处理步骤，所述框架预处理步骤包括：

模板引擎调节步骤，对模板引擎的返回文件的文件格式进行拓展，建立新的返回文件的文件格式；

动态参数处理步骤，对于采用新的文件格式的返回文件进行检测，筛选出动态参数，并对动态参数进行预防处理操作；

业务逻辑调整步骤，设置业务逻辑层的逻辑视图为采用新的文件格式的返回文件。