CN105471821A - 一种基于浏览器的信息处理方法及装置 - Google Patents
一种基于浏览器的信息处理方法及装置 Download PDFInfo
- Publication number
- CN105471821A CN105471821A CN201410433244.9A CN201410433244A CN105471821A CN 105471821 A CN105471821 A CN 105471821A CN 201410433244 A CN201410433244 A CN 201410433244A CN 105471821 A CN105471821 A CN 105471821A
- Authority
- CN
- China
- Prior art keywords
- content fragment
- browser
- judge
- current site
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于浏览器的信息处理方法及装置,其中,该方法包括在浏览器当前网站的输入框接收用户输入的内容;对用户输入的内容进行解析,生成内容分片;判断内容分片是否满足预设格式,同时判断当前网站是否符合预设规则;以及若内容分片满足预设格式,且当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器;本发明通过对输入内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种基于浏览器的信息处理方法及装置。
背景技术
跨站脚本攻击(XSS,CrossSiteScript),是当前网络上常见的一种攻击浏览器的方式。XSS又分为存储式XSS和反弹式XSS,其中反弹式XSS是利用网站开发人员对输入脚本的参数校验不严,致使恶意攻击者可以往Web页面里插入恶意超级文本标记语言(html,HyperTextMarkuplanguage)代码,当用户浏览该页面时,嵌入其中Web里面的html代码会被执行,从而导致用户信息泄漏或者诱骗用户进入恶意网址等,达到恶意攻击的目的。
可是,目前国内浏览器针对此种攻击,基本上没有防护措施。大部分都只是采用IE或者谷歌(chrome)浏览器内置的防护方法进行防护,两者对反弹式XSS的防护大同小异,都是在超文本传输协议(HTTP,Hypertexttransferprotocol)请求发出前,先对请求进行解析,将识别出的HTTP内容作为记号(token)保存。在HTTP响应中检测这些token是否存在,如果存在,则将其过滤,并报警。可是这种防护方式的缺陷在于:需要将可解析识别的HTTP内容固化在代码中,无法根据当前情况做出迅速更新;并且如果恶意代码进行编码或者拆分,则有可能绕过防护,从而导致浏览器对XSS的防护力度不够,安全性不高。
综上,如何根据当前情况来做出判断,以提高浏览器对XSS的防护力度、提高安全性是现有技术需要解决的技术问题之一。
发明内容
本发明的目的在于提供一种基于浏览器的信息处理方法及装置,旨在解决现有技术浏览器对XSS的防护力度不够和安全性不高的技术问题。
为解决上述技术问题,本发明实施例提供以下技术方案:
一种基于浏览器的信息处理方法,其中,所述方法包括:
在浏览器当前网站的输入框接收用户输入的内容;
对用户输入的所述内容进行解析,生成内容分片;
判断所述内容分片是否满足预设格式,同时判断所述当前网站是否符合预设规则;以及
若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
为解决上述技术问题,本发明实施例还提供以下技术方案:
一种基于浏览器的信息处理装置,其中,所述装置包括:
接收模块,用于在浏览器当前网站的输入框接收用户输入的内容;
解析生成模块,用于对用户输入的所述内容进行解析,生成内容分片;
第一判断模块,用于判断所述内容分片是否满足预设格式;
第二判断模块,用于同时判断所述当前网站是否符合预设规则;以及
发送模块,用于若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
相对于现有技术,本实施例提供的基于浏览器的信息处理方法及装置,对用户输入的内容进行解析,生成内容分片;若内容分片满足对应的预设格式,且当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器,即对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
附图说明
图1为本发明实施例提供的基于浏览器的信息处理系统的结构示意图;
图2为本发明第一实施例提供的基于浏览器的信息处理方法的流程示意图;
图3为本发明第二实施例提供的基于浏览器的信息处理方法的流程示意图;
图4为本发明第三实施例提供的基于浏览器的信息处理方法的流程示意图;
图5为本发明第五实施例提供的基于浏览器的信息处理装置的结构示意图;
图6为本发明第六实施例提供的基于浏览器的信息处理装置的结构示意图。
具体实施方式
请参照图式,其中相同的组件符号代表相同的组件,本发明的原理是以实施在一适当的运算环境中来举例说明。以下的说明是基于所例示的本发明具体实施例,其不应被视为限制本发明未在此详述的其它具体实施例。
在以下的说明中,本发明的具体实施例将参考由一部或多部计算机所执行的步骤及符号来说明,除非另有述明。因此,这些步骤及操作将有数次提到由计算机执行,本文所指的计算机执行包括了由代表了以一结构化型式中的数据的电子信号的计算机处理单元的操作。此操作转换该数据或将其维持在该计算机的内存系统中的位置处,其可重新配置或另外以本领域测试人员所熟知的方式来改变该计算机的运作。该数据所维持的数据结构为该内存的实体位置,其具有由该数据格式所定义的特定特性。但是,本发明原理以上述文字来说明,其并不代表为一种限制,本领域测试人员将可了解到以下所述的多种步骤及操作亦可实施在硬件当中。
本发明的原理使用许多其它泛用性或特定目的运算、通信环境或组态来进行操作。所熟知的适合用于本发明的运算系统、环境与组态的范例可包括(但不限于)手持电话、个人计算机、服务器、多处理器系统、微电脑为主的系统、主架构型计算机、及分布式运算环境,其中包括了任何的上述系统或装置。
本文所使用的术语“模块”可看做为在该运算系统上执行的软件对象。本文所述的不同组件、模块、引擎及服务可看做为在该运算系统上的实施对象。而本文所述的装置及方法优选的以软件的方式进行实施,当然也可在硬件上进行实施,均在本发明保护范围之内。
本文所使用的词语“优选的”意指用作实例、示例或例证。奉文描述为“优选的”任意方面或设计不必被解释为比其他方面或设计更有利。相反,词语“优选的”的使用旨在以具体方式提出概念。如本申请中所使用的术语“或”旨在意指包含的“或”而非排除的“或”。即,除非另外指定或从上下文中清楚,“X使用A或B”意指自然包括排列的任意一个。即,如果X使用A;X使用B;或X使用A和B二者,则“X使用A或B”在前述任一示例中得到满足。
而且,尽管已经相对于一个或多个实现方式示出并描述了本公开,但是本领域技术人员基于对本说明书和附图的阅读和理解将会想到等价变型和修改。本公开包括所有这样的修改和变型,并且仅由所附权利要求的范围限制。特别地关于由上述组件(例如元件、资源等)执行的各种功能,用于描述这样的组件的术语旨在对应于执行所述组件的指定功能(例如其在功能上是等价的)的任意组件(除非另外指示),即使在结构上与执行本文所示的本公开的示范性实现方式中的功能的公开结构不等同。此外,尽管本公开的特定特征已经相对于若干实现方式中的仅一个被公开,但是这种特征可以与如可以对给定或特定应用而言是期望和有利的其他实现方式的一个或多个其他特征组合。而且,就术语“包括”、“具有”、“含有”或其变形被用在具体实施方式或权利要求中而言,这样的术语旨在以与术语“包含”相似的方式包括。
请参阅图1,图1为本发明实施例提供的基于浏览器的信息处理系统的结构示意图,所述基于浏览器的信息处理系统包括客户端11以及服务器12。
其中所述客户端11是使用者为了利用网络服务而使用的通信终端装置,其可通过通信网路与所述服务器12连接。所述客户端11不仅可以由桌上型计算机构成,还可以由笔记型计算机、工作站、掌上型计算机、UMPC(UltraMobilePersonalComputer:超移动个人计算机)、平板PC、个人数字助理(PersonalDigitalAssistant,PDA)、连网板(webpad)、可携式电话等具备储存单元并安装有微处理器而具有运算能力的终端机构成。
其中所述客户端11与所述服务器12之间的所述通信网路可以包括将局域网络(LocalAreaNetwork,LAN)、都会网络(MetropolitanAreaNetwork,MAN)、广域网络(WideAreaNetwork,WAN)、因特网等包括在内的数据通信网络,还包括电话网络等,不分有线和无线,使用任何通信方式均无关。
而所述服务器12存储有用于检测用户输入的内容分片相对应的预设格式,以及用于检测用户访问的网站的预设规则。
本发明实施例中,客户端11在浏览器当前网站的输入框接收用户输入的内容,对用户输入的内容进行解析,生成内容分片;对内容分片的格式以及当前网站同时进行判断,若内容分片满足对应的预设格式,且当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器;也就是说,对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
第一实施例
请参阅图2,图2是本发明第一实施例提供的基于浏览器的信息处理方法的流程示意图。
在步骤S201中,在浏览器当前网站的输入框接收用户输入的内容。
其中,所述基于浏览器的信息处理方法的执行主体为客户端,所述客户端可以包括台式计算机、平板电脑、具有触摸功能的手机等具备储存单元并安装有微处理器而具有运算能力的设备。
在步骤S202中,对用户输入的所述内容进行解析,生成内容分片。
也就是说,对用户输入的所述内容的各部分进行分析和判断。
在步骤S203中,判断所述内容分片是否满足预设格式,同时判断所述当前网站是否符合预设规则。
可以理解的是,本发明实施例中所述内容分片对应的预设格式,以及访问的网站的预设规则可以通过预设置的方式进行存储。其中,所述内容分片对应的预设格式可以以标签的形式进行设置,此处不作具体限定。
在步骤S204中,若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
本实施例中,对用户输入的内容的格式进行限制,即采用了白名单的方式对用户输入加以限制,以及同时对当前网站进行限定,当所述内容分片满足预设格式,且所述当前网站符合预设规则时,将满足预设格式的内容分片发送至服务器;同时,可选的,若所述内容分片不满足对应的预设格式,和/或,当前网站不符合预设规则,则可以将不满足预设格式的所述内容分片进行过滤。
可以理解的是,在某些实施例中,可以针对具体情况(如网站出现漏洞),采用云推送措施对安全性规则进行迅速更新升级,如当前网站为重要网站或当前处于高风险期间等,可以对安全性规则进行进一步升级,从而对浏览器进行更好的防护。同样的,当网站漏洞消失后,也可以将升级更新后的安全性规则删除,此处不作具体限定。
由上述可知,本实施例中提供的基于浏览器的信息处理方法,对用户输入的内容进行解析,生成内容分片;若内容分片满足对应的预设格式,且当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器,即对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
第二实施例
请参阅图3,图3为本发明第二实施例提供的基于浏览器的信息处理方法的流程示意图。所述方法步骤包括:
在步骤S301中,在浏览器当前网站的输入框接收用户输入的内容。
其中,所述基于浏览器的信息处理方法的执行主体为客户端,所述客户端可以包括台式计算机、平板电脑、具有触摸功能的手机等具备储存单元并安装有微处理器而具有运算能力的设备。
可以理解的是,用户输入的内容可以为如下形式:
http://victim/test.php?name=<script>alert("XSS")</script>。
在步骤S302中,对用户输入的所述内容进行解析,生成内容分片。
在步骤S303中,获取所述内容分片所属的标签,以及获取所述标签所对应的格式信息。
在步骤S304中,判断所述内容分片是否满足所述格式信息所指示的格式。
其中,步骤S302至步骤S304可以具体为:
在用户输入后,对其输入的内容进行解析,得到对应所述内容的内容分片,即对用户输入的所述内容的各部分进行分析和判断。同时,获取所述内容分片所属的标签,以及所述标签所对应的格式信息,随后,判断所述内容分片是否满足所述格式信息所指示的格式。
可以理解的是,采用可扩展标记语言(XML,ExtensibleMarkupLanguage)对内容分片以及其所属标签所对应的格式信息进行预先设置。也就是说,采用XML对每个标签对应允许输入的内容预先进行规则定义。即只有满足预设格式的内容才允许被送到服务器端。
在步骤S305中,判断所述浏览器的当前网站是否为预设的重要网站。
在步骤S306中,若所述当前网站为预设的重要网站,则判断出所述当前网站符合预设规则。
其中,步骤S305至步骤S306可以具体为:
本实施例中,除了对用户输入的内容进行格式判断外,还对当前获取输入内容的网站进行判断,若所述当前网站为预设的重要网站,则判断出所述当前网站符合预设规则。
优选的,若所述当前网站为预设的重要网站,则对内容分片的预设格式进行升级更新,则判断所述内容分片是否满足升级更新后的格式;在本实施例中,具体的,若所述当前网站为预设的重要网站,则对内容分片所属的标签对应的格式信息所指示的格式进行升级更新,则步骤S304可具体为判断所述内容分片是否满足升级更新后的格式。
可以理解的是,所述重要网站是用户根据实际应用的进行预先设置,以使得服务器根据当前的情况来做出判断,从而对浏览器进行更好的防护。容易想到的是,在某些实施例中,根据实际情况(如网站漏洞消失)也可以将升级更新后的安全性规则删除,此处不作具体限定。
在步骤S307中,若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
本实施例中,对用户输入的内容的格式进行限制,即采用了白名单的方式对用户输入加以限制,以及同时对当前网站进行限定,具体的,从当前网站的重要性进行限定;当所述内容分片满足预设格式,且所述当前网站为预设的重要网站时,将满足预设格式的内容分片发送至服务器;同时,可选的,若所述内容分片不满足对应的预设格式,和/或,当前网站不符合预设规则,则可以将不满足预设格式的所述内容分片进行过滤。
由上述可知,本实施例中提供的基于浏览器的信息处理方法,对用户输入的内容进行解析,生成内容分片;若内容分片满足对应的预设格式,且当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器,即对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
第三实施例
请参阅图4,图4为本发明第三实施例提供的基于浏览器的信息处理方法的流程示意图。所述方法步骤包括:
在步骤S401中,在浏览器当前网站的输入框接收用户输入的内容。
其中,所述基于浏览器的信息处理方法的执行主体为客户端,所述客户端可以包括台式计算机、平板电脑、具有触摸功能的手机等具备储存单元并安装有微处理器而具有运算能力的设备。
可以理解的是,用户输入的内容可以为如下形式:
http://victim/test.php?name=<script>alert("XSS")</script>。
在步骤S402中,对用户输入的所述内容进行解析,生成内容分片。
在步骤S403中,获取所述内容分片所属的标签,以及获取所述标签所对应的格式信息。
在步骤S404中,判断所述内容分片是否满足所述格式信息所指示的格式。
其中,步骤S402至步骤S404可以具体为:
在用户输入后,对其输入的内容进行解析,得到对应所述内容的内容分片,即对用户输入的所述内容的各部分进行分析和判断。同时,获取所述内容分片所属的标签,以及所述标签所对应的格式信息,随后,判断所述内容分片是否满足所述格式信息所指示的格式。
可以理解的是,采用可扩展标记语言XML对内容分片以及其所属标签所对应的格式信息进行预先设置。也就是说,采用XML对每个标签对应允许输入的内容预先进行规则定义。即只有满足预设格式的内容才允许被送到服务器端。
在步骤S405中,判断当前是否处于预设的高风险期间。
在步骤S406中,若当前不是处于预设的高风险期间,则判断出所述当前网站符合预设规则。
其中,步骤S405至步骤S406可以具体为:
本实施例中,除了对用户输入的内容进行格式判断外,还对当前获取输入内容的网站进行判断,若所述当前不是处于预设的高风险期间,则判断出所述当前网站符合预设规则。
优选的,在另一方面,若当前处于预设的高风险期间,则对内容分片的预设格式进行升级更新,则判断所述内容分片是否满足升级更新后的格式;在本实施例中,具体的,若所述当前处于预设的高风险期间,则对内容分片所属的标签对应的格式信息所指示的格式进行升级更新,则步骤S404可具体为判断所述内容分片是否满足升级更新后的格式。
可以理解的是,所述高风险期间是用户根据实际应用的进行预先设置,以使得服务器根据当前的情况来做出判断,从而对浏览器进行更好的防护。。容易想到的是,在某些实施例中,根据实际情况(如网站漏洞消失)也可以将升级更新后的安全性规则删除,此处不作具体限定。
在步骤S407中,若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
本实施例中,对用户输入的内容的格式进行限制,即采用了白名单的方式对用户输入加以限制,以及同时对当前网站进行限定,具体的,从当前访问该网站的时间段进行限定;当所述内容分片满足预设格式,且当前不是处于预设的高风险期间时,将满足预设格式的内容分片发送至服务器;同时,可选的,若所述内容分片不满足对应的预设格式,和/或,当前网站不符合预设规则,则可以将不满足预设格式的所述内容分片进行过滤。
由上述可知,本实施例中提供的基于浏览器的信息处理方法,对用户输入的内容进行解析,生成内容分片;若内容分片满足对应的预设格式,且当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器,即对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
第四实施例
为了更好的理解本发明实施例提供的基于浏览器的信息处理方法,以下一个实际应用中的具体场景进行分析说明:
目前,现有的反射型XSS漏洞主要是由于开发人员对用户的输入没有校验,将其全部或部分作为数据写入网页并回馈,向用户显示。比如一个带有XSS漏洞的示例网页可如下所示:
test.php
"<?php
$name=$_GET["name"];
echo"hello$name";
?>"
可以理解的是,正常情况下,此网页用于展示一条欢迎信息。但是如果用户被诱导输入如下的统一资源定位符URL(UniformResourceLocator):
"http://victim/test.php?name=<script>alert("XSS")</script>"
此时,客户端显示装置会显示来自网页的XSS的提醒消息,也就是说,插入在URL中的脚本指令被执行了。由于是从可信域中返回的网页,所以此脚本对本域中的数据具有读写权限。而从用户的角度来看,这个网页是从可信网站返回的,因此不会怀疑或被过滤。如果在此伪装成登录框,用户可能会输入比如口令等敏感信息。
以IE8为例,其内置的XSS过滤器核心功能如下:检查跨域请求中的每一个参数值,以确定是否有恶意注入的可能性。同时IE自身包含有一个常见攻击字符串的正则列表,如果符合特征,则将其记录起来。例如:
{<sc{r}ipt.*?>}匹配<script>xxx</script>类型的脚本;
{<sc{r}ipt.*?[/+\t]*?src[/+\t]*=}匹配<scriptsrc=xxx>类型的脚本;
如果在第一步中发现有恶意参数,则检查服务器响应,看其中是否包含相同的特征。如果包含特征,则进行过滤。这是现有的一种黑名单的过滤方式,但是html的容错性很强,使用比如ScRiPt等类似的编码后输入即可避过过滤,同样在用户机器上可以执行脚本。
而实际上在类似场景的输入中,不应包含诸如<script>等html标记符。这个过滤输入的动作本应由网页的作者完成。但是由于有些开发人员安全意识比较单薄,只是单纯的完成了功能。
在本方案中,脚本标签是严格禁止的,规则文件(即预设格式)可参考如下:"<tagname="script"action="remove"/>";在经过html引擎解析后,所有包含script标签的输入将被antixss模块根据规则过滤;同时,若判断出当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器,即对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,从而有效的避免了XSS的攻击,提高浏览器对XSS的防护力度、提高安全性。
第五实施例
为便于更好的实施本发明实施例提供的基于浏览器的信息处理方法,本发明实施例还提供一种基于上述基于浏览器的信息处理方法的装置。其中名词的含义与上述基于浏览器的信息处理的方法中相同,具体实现细节可以参考方法实施例中的说明。
请参阅图5,图5为本发明实施例提供的基于浏览器的信息处理装置的结构示意图,其中所述基于浏览器的信息处理装置包括接收模块51、解析生成模块52、第一判断模块53、第二判断模块54以及发送模块55。
其中所述接收模块51,在浏览器当前网站的输入框接收用户输入的内容;所述解析生成模块52,对用户输入的所述内容进行解析,生成内容分片;所述第一判断模块53,判断所述内容分片是否满足预设格式;
在所述第一判断模块53判断所述内容分片是否满足预设格式的同时,所述第二判断模块54,判断所述当前网站是否符合预设规则;所述发送模块55,若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
其中,所述基于浏览器的信息处理装置可以包括台式计算机、平板电脑、具有触摸功能的手机等具备储存单元并安装有微处理器而具有运算能力的设备。
可以理解的是,本发明实施例中所述内容分片对应的预设格式,以及访问的网站的预设规则可以通过预设置的方式进行存储。其中,所述内容分片对应的预设格式可以以标签的形式进行设置,此处不作具体限定。
本实施例中,对用户输入的内容的格式进行限制,即采用了白名单的方式对用户输入加以限制,以及同时对当前网站进行限定,当所述内容分片满足预设格式,且所述当前网站符合预设规则时,将满足预设格式的内容分片发送至服务器;同时,可选的,若所述内容分片不满足对应的预设格式,和/或,当前网站不符合预设规则,则可以将不满足预设格式的所述内容分片进行过滤。
可以理解的是,在某些实施例中,可以针对具体情况(如网站出现漏洞),采用云推送措施对安全性规则进行迅速更新升级,如当前网站为重要网站或当前处于高风险期间等,可以对安全性规则进行进一步升级,从而对浏览器进行更好的防护。同样的,当网站漏洞消失后,也可以将升级更新后的安全性规则删除,此处不作具体限定。
由上述可知,本实施例中提供的基于浏览器的信息处理装置,对用户输入的内容进行解析,生成内容分片;若内容分片满足对应的预设格式,且当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器,即对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
第六实施例
请参阅图6,图6为本发明第六实施例提供的基于浏览器的信息处理装置的结构示意图;其中,所述基于浏览器的信息处理装置包括接收模块61、解析生成模块62、第一判断模块63、第二判断模块64以及发送模块65。
其中所述接收模块61,在浏览器当前网站的输入框接收用户输入的内容;所述解析生成模块62,对用户输入的所述内容进行解析,生成内容分片;所述第一判断模块63,判断所述内容分片是否满足预设格式;
在所述第一判断模块63判断所述内容分片是否满足预设格式的同时,所述第二判断模块64,判断所述当前网站是否符合预设规则;所述发送模块65,若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
在一种实施方式中,所述第二判断模块64,判断所述浏览器的当前网站是否为预设的重要网站,若所述当前网站为预设的重要网站,则判断出所述当前网站符合预设规则。
在另一种实施方式中,所述第二判断模块64,判断当前是否处于预设的高风险期间,若当前不是处于预设的高风险期间,则判断出所述当前网站符合预设规则。
优选的,所述基于浏览器的信息处理装置还可以包括:
第一升级模块66,若所述当前网站为预设的重要网站,则对内容分片的预设格式进行升级更新;则所述第一判断模块63,判断所述内容分片是否满足升级更新后的格式。
优选的,所述基于浏览器的信息处理装置还可以包括:
第二升级模块67,若当前处于预设的高风险期间,则对内容分片的预设格式进行升级更新;则所述第一判断模块63,判断所述内容分片是否满足升级更新后的格式。
可以理解的是,若所述当前网站为预设的重要网站和/或当前处于预设的高风险期间,则对内容分片的预设格式进行升级更新,则判断所述内容分片是否满足升级更新后的格式;在本实施例中,具体的,若所述当前网站为预设的重要网站和/或当前处于预设的高风险期间,则对内容分片所属的标签对应的格式信息所指示的格式进行升级更新,则判断所述内容分片是否满足升级更新后的格式。
可以理解的是,所述重要网站和高风险期间是用户根据实际应用的进行预先设置,以使得服务器根据当前的情况来做出判断,从而对浏览器进行更好的防护;容易想到的是,在某些实施例中,根据实际情况(如网站漏洞消失)也可以将升级更新后的安全性规则删除,此处不作具体限定。
进一步优选的,所述基于浏览器的信息处理装置还可以包括:
获取模块68,获取所述内容分片所属的标签,以及获取所述标签所对应的格式信息;所述第一判断模块63,判断所述内容分片是否满足所述格式信息所指示的格式。
在用户输入后,对其输入的内容进行解析,得到对应所述内容的内容分片,即对用户输入的所述内容的各部分进行分析和判断。同时,获取所述内容分片所属的标签,以及所述标签所对应的格式信息,随后,判断所述内容分片是否满足所述格式信息所指示的格式。
更进一步的,所述基于浏览器的信息处理装置还可以包括设置模块,采用可扩展标记语言XML对内容分片以及其所属标签所对应的格式信息进行预先设置。
可以理解的是,采用可扩展标记语言XML对内容分片以及其所属标签所对应的格式信息进行预先设置。也就是说,采用XML对每个标签对应允许输入的内容预先进行规则定义。即只有满足预设格式的内容才允许被送到服务器端。
本实施例中,对用户输入的内容的格式进行限制,即采用了白名单的方式对用户输入加以限制,以及同时对当前网站进行限定,具体的,从当前网站的重要性以及当前访问网址的时间段进行限定;当所述内容分片满足预设格式,且所述当前网站为预设的重要网站时,将满足预设格式的内容分片发送至服务器;同时,可选的,若所述内容分片不满足对应的预设格式,和/或,当前网站不符合预设规则,则可以将不满足预设格式的所述内容分片进行过滤。
由上述可知,本实施例提供的基于浏览器的信息处理装置,对用户输入的内容进行解析,生成内容分片;若内容分片满足对应的预设格式,且当前网站符合预设规则,则将满足预设格式的内容分片发送至服务器,即对内容的格式以及当前网站同时进行限定,从而可以根据当前情况来做出准确判断,进而提高浏览器对XSS的防护力度、提高安全性。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文针对基于浏览器的信息处理方法的详细描述,此处不再赘述。
本发明实施例提供的所述基于浏览器的信息处理装置,譬如为计算机、平板电脑、具有触摸功能的手机等等,所述基于浏览器的信息处理装置与上文实施例中的基于浏览器的信息处理方法属于同一构思,在所述基于浏览器的信息处理装置上可以运行所述基于浏览器的信息处理方法实施例中提供的任一方法,其具体实现过程详见所述基于浏览器的信息处理方法实施例,此处不再赘述。
需要说明的是,对本发明所述基于浏览器的信息处理方法而言,本领域普通测试人员可以理解实现本发明实施例所述基于浏览器的信息处理方法的全部或部分流程,是可以通过计算机程序来控制相关的硬件来完成,所述计算机程序可存储于一计算机可读取存储介质中,如存储在终端的存储器中,并被该终端内的至少一个处理器执行,在执行过程中可包括如所述基于浏览器的信息处理方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。
对本发明实施例的所述基于浏览器的信息处理装置而言,其各功能模块可以集成在一个处理芯片中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中,所述存储介质譬如为只读存储器,磁盘或光盘等。
综上所述,虽然本发明已以优选实施例揭露如上,但上述优选实施例并非用以限制本发明,本领域的普通测试人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。
Claims (14)
1.一种基于浏览器的信息处理方法,其特征在于,所述方法包括:
在浏览器当前网站的输入框接收用户输入的内容;
对用户输入的所述内容进行解析,生成内容分片;
判断所述内容分片是否满足预设格式,同时判断所述当前网站是否符合预设规则;以及
若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
2.根据权利要求1所述的基于浏览器的信息处理方法,其特征在于,所述判断所述当前网站是否符合预设规则的步骤,包括:
判断所述浏览器的当前网站是否为预设的重要网站;
若所述当前网站为预设的重要网站,则判断出所述当前网站符合预设规则。
3.根据权利要求1所述的基于浏览器的信息处理方法,其特征在于,所述判断所述当前网站是否符合预设规则的步骤之后,包括:
判断当前是否处于预设的高风险期间;
若当前不是处于预设的高风险期间,则判断出所述当前网站符合预设规则。
4.根据权利要求2所述的基于浏览器的信息处理方法,其特征在于,所述判断所述浏览器的当前网站是否为预设的重要网站的步骤之后,还包括:
若所述当前网站为预设的重要网站,则对内容分片的预设格式进行升级更新;
则判断所述内容分片是否满足预设格式的步骤,包括:
判断所述内容分片是否满足升级更新后的格式。
5.根据权利要求3所述的基于浏览器的信息处理方法,其特征在于,所述判断当前是否处于预设的高风险期间的步骤之后,还包括:
若当前处于预设的高风险期间,则对内容分片的预设格式进行升级更新;
则判断所述内容分片是否满足预设格式的步骤,包括:
判断所述内容分片是否满足升级更新后的格式。
6.根据权利要求1所述的基于浏览器的信息处理方法,其特征在于,所述生成内容分片的步骤之后,包括:
获取所述内容分片所属的标签,以及获取所述标签所对应的格式信息;
所述判断所述内容分片是否满足预设格式的步骤,包括:
判断所述内容分片是否满足所述格式信息所指示的格式。
7.根据权利要求6所述的基于浏览器的信息处理方法,其特征在于,所述方法还包括:
采用可扩展标记语言XML对内容分片以及其所属标签所对应的格式信息进行预先设置。
8.一种基于浏览器的信息处理装置,其特征在于,所述装置包括:
接收模块,用于在浏览器当前网站的输入框接收用户输入的内容;
解析生成模块,用于对用户输入的所述内容进行解析,生成内容分片;
第一判断模块,用于判断所述内容分片是否满足预设格式;
第二判断模块,用于同时判断所述当前网站是否符合预设规则;以及
发送模块,用于若所述内容分片满足预设格式,且所述当前网站符合预设规则,则将满足预设格式的所述内容分片发送至服务器。
9.根据权利要求8所述的基于浏览器的信息处理装置,其特征在于,所述第二判断模块,还用于判断所述浏览器的当前网站是否为预设的重要网站,若所述当前网站为预设的重要网站,则判断出所述当前网站符合预设规则。
10.根据权利要求8所述的基于浏览器的信息处理装置,其特征在于,所述第二判断模块,还用于判断当前是否处于预设的高风险期间,若当前不是处于预设的高风险期间,则判断出所述当前网站符合预设规则。
11.根据权利要求9所述的基于浏览器的信息处理装置,其特征在于,所述装置还包括:
第一升级模块,用于若所述当前网站为预设的重要网站,则对内容分片的预设格式进行升级更新;
则所述第一判断模块,还用于判断所述内容分片是否满足升级更新后的格式。
12.根据权利要求10所述的基于浏览器的信息处理装置,其特征在于,所述装置还包括:
第二升级模块,用于若当前处于预设的高风险期间,则对内容分片的预设格式进行升级更新;
则所述第一判断模块,还用于判断所述内容分片是否满足升级更新后的格式。
13.根据权利要求8所述的基于浏览器的信息处理装置,其特征在于,所述装置还包括:
获取模块,用于获取所述内容分片所属的标签,以及获取所述标签所对应的格式信息;
所述第一判断模块,用于判断所述内容分片是否满足所述格式信息所指示的格式。
14.根据权利要求13所述的基于浏览器的信息处理装置,其特征在于,所述装置还包括:
设置模块,用于采用可扩展标记语言XML对内容分片以及其所属标签所对应的格式信息进行预先设置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410433244.9A CN105471821B (zh) | 2014-08-29 | 2014-08-29 | 一种基于浏览器的信息处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410433244.9A CN105471821B (zh) | 2014-08-29 | 2014-08-29 | 一种基于浏览器的信息处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105471821A true CN105471821A (zh) | 2016-04-06 |
CN105471821B CN105471821B (zh) | 2019-09-17 |
Family
ID=55609097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410433244.9A Active CN105471821B (zh) | 2014-08-29 | 2014-08-29 | 一种基于浏览器的信息处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105471821B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106708957A (zh) * | 2016-11-29 | 2017-05-24 | 北京优易惠技术有限公司 | 一种文件分析方法及装置 |
CN109218284A (zh) * | 2018-07-24 | 2019-01-15 | 百度在线网络技术(北京)有限公司 | Xss漏洞检测方法及装置、计算机设备及可读介质 |
CN109660499A (zh) * | 2018-09-13 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 攻击拦截方法和装置、计算设备及存储介质 |
CN109725954A (zh) * | 2018-12-21 | 2019-05-07 | 中链科技有限公司 | 一种动态数据项处理方法及系统 |
WO2020062644A1 (zh) * | 2018-09-25 | 2020-04-02 | 平安科技(深圳)有限公司 | Json劫持漏洞的检测方法、装置、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103026684A (zh) * | 2010-07-22 | 2013-04-03 | 国际商业机器公司 | 跨站脚本攻击保护 |
CN103067344A (zh) * | 2011-10-24 | 2013-04-24 | 国际商业机器公司 | 在云环境中自动分发安全规则的非侵入性方法和设备 |
CN103839002A (zh) * | 2012-11-21 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 网站源代码恶意链接注入监控方法及装置 |
-
2014
- 2014-08-29 CN CN201410433244.9A patent/CN105471821B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103026684A (zh) * | 2010-07-22 | 2013-04-03 | 国际商业机器公司 | 跨站脚本攻击保护 |
CN103067344A (zh) * | 2011-10-24 | 2013-04-24 | 国际商业机器公司 | 在云环境中自动分发安全规则的非侵入性方法和设备 |
CN103839002A (zh) * | 2012-11-21 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 网站源代码恶意链接注入监控方法及装置 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106708957A (zh) * | 2016-11-29 | 2017-05-24 | 北京优易惠技术有限公司 | 一种文件分析方法及装置 |
CN106708957B (zh) * | 2016-11-29 | 2020-11-03 | 北京优易惠技术有限公司 | 一种文件分析方法及装置 |
CN109218284A (zh) * | 2018-07-24 | 2019-01-15 | 百度在线网络技术(北京)有限公司 | Xss漏洞检测方法及装置、计算机设备及可读介质 |
CN109218284B (zh) * | 2018-07-24 | 2021-11-23 | 百度在线网络技术(北京)有限公司 | Xss漏洞检测方法及装置、计算机设备及可读介质 |
CN109660499A (zh) * | 2018-09-13 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 攻击拦截方法和装置、计算设备及存储介质 |
WO2020062644A1 (zh) * | 2018-09-25 | 2020-04-02 | 平安科技(深圳)有限公司 | Json劫持漏洞的检测方法、装置、设备及存储介质 |
CN109725954A (zh) * | 2018-12-21 | 2019-05-07 | 中链科技有限公司 | 一种动态数据项处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105471821B (zh) | 2019-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gupta et al. | XSS-secure as a service for the platforms of online social network-based multimedia web applications in cloud | |
US8533328B2 (en) | Method and system of determining vulnerability of web application | |
Lekies et al. | 25 million flows later: large-scale detection of DOM-based XSS | |
US10728274B2 (en) | Method and system for injecting javascript into a web page | |
Shar et al. | Automated removal of cross site scripting vulnerabilities in web applications | |
Gupta et al. | Hunting for DOM-Based XSS vulnerabilities in mobile cloud-based online social network | |
US9081961B2 (en) | System and method for analyzing malicious code using a static analyzer | |
CN101964025B (zh) | Xss检测方法和设备 | |
Heiderich et al. | mxss attacks: Attacking well-secured web-applications by using innerhtml mutations | |
Nithya et al. | A survey on detection and prevention of cross-site scripting attack | |
US20140173736A1 (en) | Method and system for detecting webpage Trojan embedded | |
US9032519B1 (en) | Protecting websites from cross-site scripting | |
JP2014510353A (ja) | ウェブサイトのアドレスのリスク検出の処理方法及び装置 | |
CN105471821A (zh) | 一种基于浏览器的信息处理方法及装置 | |
CN104967628B (zh) | 一种保护web应用安全的诱骗方法 | |
CN103996007A (zh) | Android应用权限泄露漏洞的测试方法及系统 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
CN105303109A (zh) | 一种恶意代码情报检测分析方法及系统 | |
CN104767747A (zh) | 点击劫持安全检测方法和装置 | |
CN105991554A (zh) | 漏洞检测方法和设备 | |
CN105282096A (zh) | Xss 漏洞检测方法和装置 | |
Wang et al. | A new cross-site scripting detection mechanism integrated with HTML5 and CORS properties by using browser extensions | |
Gupta et al. | An infrastructure-based framework for the alleviation of JavaScript worms from OSN in mobile cloud platforms | |
CN102571870A (zh) | 一种web漏洞扫描评分的方法 | |
CN114357457A (zh) | 漏洞检测方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |