CN103618721A - 防范跨站脚本攻击xss安全服务 - Google Patents
防范跨站脚本攻击xss安全服务 Download PDFInfo
- Publication number
- CN103618721A CN103618721A CN201310638199.6A CN201310638199A CN103618721A CN 103618721 A CN103618721 A CN 103618721A CN 201310638199 A CN201310638199 A CN 201310638199A CN 103618721 A CN103618721 A CN 103618721A
- Authority
- CN
- China
- Prior art keywords
- cookie
- browser
- httponly
- user
- cookie information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及防范跨站脚本攻击XSS安全服务,当用户浏览器访问网页时,WEB服务器会返回网页数据,网页数据返回给用户前先检测HTTP数据头里SET-COOKIE的信息,判断是否为Session或规则定义需保护的COOKIE,如果“是”,在SET-COOKIE信息中加入“HttpOnly”标识,再返回给浏览器;如果“否”,直接返回到用户浏览器。现有技术默认不会把Session加入HttpOnly的安全标记,容易被黑客攻击利用。本发明通过在SET-COOKIE信息中加入标识“HttpOnly”让黑客不容易从浏览器脚本中获得重要COOKIE信息,让原本不安全的网站变得安全。
Description
技术领域
本发明属于网络安全领域,具体涉及防范黑客跨站脚本攻击XSS安全服务,可应用于网站服务器、用户计算机、智能手机或平板电脑上,可大大降低黑客跨站脚本攻击XSS的危害。
背景技术
跨站脚本攻击XSS,是利用HTML特性的一种攻击行为,攻击成功后,可获取用户或管理员的网站登陆权限,跨站脚本攻击XSS大量应用挂马盗号来控制企业的数据,包括读取、篡改、添加、删除企业等敏感数据,盗窃商业情报,控制受害者的机器向其它网站发起攻击,危害性较大。现有技术Session是以COOKIE形式存在的,默认信息不会把Session 加入HttpOnly 的安全标记,特别是ASP脚本没有加HttpOnly安全标识的功能,因此容易被黑客攻击利用。
发明内容
本发明的目的是提供防范跨站脚本攻击XSS安全服务。
所述的防范跨站脚本攻击XSS安全服务,原理如下:当用户浏览器访问网页时,WEB 服务器会返回网页数据,网页数据返回给用户前先检测HTTP数据头里SET-COOKIE的信息,判断是否为 Session 或规则定义需保护的COOKIE,如果“是”,在SET-COOKIE信息中加入 “HttpOnly” 标识,再返回给浏览器;如果“否”,直接返回到用户浏览器。
所述的防范跨站脚本攻击XSS安全服务,在原脚本没有对COOKIE进行保护的情况下人工加入标识“HttpOnly”后,让黑客不容易从浏览器脚本中获得重要COOKIE信息,让原本不安全的网站变得安全。
附图说明:
图1是本发明所述的COOKIE安全机制流程图。
具体实施方式:
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明不但适用于WEB服务器和用户计算机,还适用于第三方有“COOKIE处理逻辑”功能的服务,如CDN、代理、中转等,还适用于各种数据处理设备,如智能手机与平板电脑等。
常见可应用于如下方面:
1.WEB服务器上的应用
“COOKIE处理逻辑”在服务器上可以是一个防火墙或一个过滤器程序,如IIS的isapi或是扩展等,当用户访问WEB服务器的网站时,WEB服务器在返回网页数据前经“COOKIE处理逻辑”把需要处理的COOKIE加HttpOnly标识,再返回给用户,让用户电脑在没有任何相关保护的情况下也能达到防止重要COOKIE信息被黑客利用的目的。
用户机器上的应用(也适用于智能手机与平板电脑)
在用户机器上加入“COOKIE处理逻辑”,让浏览器读取经过处理的COOKIE信息,让跨站脚本攻击XSS失效。此方法在用户机器上处理效果比服务器上更好,因为每个网站的Session都可以修改为HttpOnly状态,防范跨站脚本攻击XSS获取重要COOKIE信息的效果会更好。
中转、CDN以及代理上的应用
“COOKIE处理逻辑”可以是一个中转或是CDN,只要经过相关服务进行相关处理,也能达到防范跨站脚本攻击XSS读取重要COOKIE信息的目的。
下面以一个实例说明COOKIE处理过程:
用户访问网站时,WEB服务网页内容,会带有HTTP头信息,示例的HTTP如下:
HTTP/1.1 200 OK
Content-Type: text/html
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/5.2.5
SET-COOKIE: PHPSESSID=d5c15b9268d0de4eb47b792f833e497d; path=/
SET-COOKIE: userCOOKIE1=aaaaaa; path=/
SET-COOKIE: userCOOKIE2=bbbbbb; path=/
Connection: close
SET-COOKIE: 标识是表示要向浏览器写入COOKIE信息,默认浏览器脚本是可以访问的。
为了安全,加入了COOKIE处理逻辑,加入HttpOnly标识,变为:
SET-COOKIE: PHPSESSID=d5c15b9268d0de4eb47b792f833e497d; path=/;HttpOnly
这时浏览器里的脚本语言已无法读取到PHPSESSID这个COOKIE信息了。
如禁止浏览器读取 “SET-COOKIE: userCOOKIE2=bbbbbb; path=/” 的COOKIE信息时,也是加入HttpOnly标识,修改为:
SET-COOKIE: userCOOKIE2=bbbbbb; path=/;HttpOnly。
Claims (2)
1.防范跨站脚本攻击XSS安全服务,其特征是,当用户浏览器访问网页时,WEB 服务器会返回网页数据,网页数据返回给用户前先检测HTTP数据头里SET-COOKIE的信息,判断是否为 Session 或规则定义需保护的COOKIE,如果“是”,在SET-COOKIE信息中加入 “HttpOnly” 标识,再返回给浏览器;如果“否”,直接返回到用户浏览器。
2.如权利要求1所述的防范跨站脚本攻击XSS安全服务,其特征是,在原脚本没有对COOKIE进行保护的情况下人工加入标识“HttpOnly”后,让黑客不容易从浏览器脚本中获得重要COOKIE信息,让原本不安全的网站变得安全。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310638199.6A CN103618721A (zh) | 2013-12-03 | 2013-12-03 | 防范跨站脚本攻击xss安全服务 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310638199.6A CN103618721A (zh) | 2013-12-03 | 2013-12-03 | 防范跨站脚本攻击xss安全服务 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103618721A true CN103618721A (zh) | 2014-03-05 |
Family
ID=50169425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310638199.6A Pending CN103618721A (zh) | 2013-12-03 | 2013-12-03 | 防范跨站脚本攻击xss安全服务 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103618721A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105512559A (zh) * | 2014-10-17 | 2016-04-20 | 阿里巴巴集团控股有限公司 | 一种用于提供访问页面的方法与设备 |
| CN110602134A (zh) * | 2019-09-24 | 2019-12-20 | 杭州安恒信息技术股份有限公司 | 基于会话标签识别非法终端访问方法、装置及系统 |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040103200A1 (en) * | 2002-11-23 | 2004-05-27 | Microsoft Corporation | Method and system for improved internet security via HTTP-only cookies |
| CN102932353A (zh) * | 2012-11-02 | 2013-02-13 | 北京奇虎科技有限公司 | 一种防止恶意攻击的方法和设备 |
| CN103023869A (zh) * | 2012-11-02 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意攻击防止方法和浏览器 |
| CN103279710A (zh) * | 2013-04-12 | 2013-09-04 | 深圳市易聆科信息技术有限公司 | Internet信息系统恶意代码的检测方法和系统 |
-
2013
- 2013-12-03 CN CN201310638199.6A patent/CN103618721A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040103200A1 (en) * | 2002-11-23 | 2004-05-27 | Microsoft Corporation | Method and system for improved internet security via HTTP-only cookies |
| CN102932353A (zh) * | 2012-11-02 | 2013-02-13 | 北京奇虎科技有限公司 | 一种防止恶意攻击的方法和设备 |
| CN103023869A (zh) * | 2012-11-02 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意攻击防止方法和浏览器 |
| CN103279710A (zh) * | 2013-04-12 | 2013-09-04 | 深圳市易聆科信息技术有限公司 | Internet信息系统恶意代码的检测方法和系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105512559A (zh) * | 2014-10-17 | 2016-04-20 | 阿里巴巴集团控股有限公司 | 一种用于提供访问页面的方法与设备 |
| CN105512559B (zh) * | 2014-10-17 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 一种用于提供访问页面的方法与设备 |
| CN110602134A (zh) * | 2019-09-24 | 2019-12-20 | 杭州安恒信息技术股份有限公司 | 基于会话标签识别非法终端访问方法、装置及系统 |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10079854B1 (en) | Client-side protective script to mitigate server loading | |
| US9325731B2 (en) | Identification of and countermeasures against forged websites | |
| US11126749B2 (en) | Apparatus and method for securing web application server source code | |
| CN104601540B (zh) | 一种跨站脚本XSS攻击防御方法及Web服务器 | |
| US8839424B2 (en) | Cross-site request forgery protection | |
| CN104079557A (zh) | 一种cc攻击的防护方法及装置 | |
| US10778687B2 (en) | Tracking and whitelisting third-party domains | |
| EP3518135B1 (en) | Protection against third party javascript vulnerabilities | |
| CN103973749A (zh) | 基于云服务器的网站处理方法及云服务器 | |
| Chorghe et al. | A survey on anti-phishing techniques in mobile phones | |
| CN102932353B (zh) | 一种防止恶意攻击的方法和设备 | |
| Chaudhary et al. | Cross-site scripting (XSS) worms in Online Social Network (OSN): Taxonomy and defensive mechanisms | |
| CN103618721A (zh) | 防范跨站脚本攻击xss安全服务 | |
| CN103023869A (zh) | 恶意攻击防止方法和浏览器 | |
| Wedman et al. | An analytical study of web application session management mechanisms and HTTP session hijacking attacks | |
| US11128639B2 (en) | Dynamic injection or modification of headers to provide intelligence | |
| CN101686130A (zh) | 一种预防跨站脚本攻击的系统 | |
| CN105490993B (zh) | 在浏览器中防止Cookie跟踪的方法和装置 | |
| Alazab et al. | The role of spam in cybercrime: data from the Australian cybercrime pilot observatory | |
| US20160366172A1 (en) | Prevention of cross site request forgery attacks | |
| Sung et al. | Light-weight CSRF protection by labeling user-created contents | |
| Sangroha et al. | Exploring security theory approach in BYOD environment | |
| Singh | Detecting and prevention cross–site scripting techniques | |
| Zhou et al. | Strengthening XSRF defenses for legacy web applications using whitebox analysis and transformation | |
| CN115695050B (zh) | 点击劫持攻击的防范方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140305 |