CN107168980A - 页面显示方法及装置 - Google Patents
页面显示方法及装置 Download PDFInfo
- Publication number
- CN107168980A CN107168980A CN201610131630.1A CN201610131630A CN107168980A CN 107168980 A CN107168980 A CN 107168980A CN 201610131630 A CN201610131630 A CN 201610131630A CN 107168980 A CN107168980 A CN 107168980A
- Authority
- CN
- China
- Prior art keywords
- page
- parent page
- iframe
- call condition
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/957—Browsing optimisation, e.g. caching or content distillation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
- G06F16/972—Access to data in other repository systems, e.g. legacy data or dynamic Web page generation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种页面显示方法及装置,所述方法包括:服务端接收客户端发送的iframe页面显示请求;根据所述iframe页面显示请求,确定调用所述iframe页面的父页面;判断所述iframe页面嵌套的父页面是否满足调用条件;在所述父页面满足调用条件时,指示客户端显示所述iframe页面;在所述父页面不满足调用条件时,指示客户端不显示所述iframe页面。本申请实施例提高了跨域调用的安全性。
Description
技术领域
本申请属于网络技术领域,具体地说,涉及一种页面显示方法及装置。
背景技术
iframe是一种HTML(HyperText Markup Language,超级文本标记语言)标签,通过iframe可以在一个站点的页面中嵌入另外一个站点的页面。
例如,在站点A的页面中通过iframe可以嵌入站点B的页面,其中,站点B的页面即称为iframe页面,站点A的页面也即为该iframe页面对应的父页面,从而进行页面显示的客户端,比如浏览器,可以在站点A的父页面中,向站点B发起调用iframe页面并进行显示的请求,实现跨域调用。
而由于任意的站点均可以通过iframe在其页面中嵌入其它站点的页面,这就存在恶意站点恶意调用iframe页面的情况,以窃取iframe页面提供的信息等,比如iframe页面为一个用户登录页面时,恶意站点就可以窃取用户提供的登录信息。
为了提高跨域调用安全性,避免iframe页面被恶意调用,现有技术中,通过在客户端配置判断逻辑,由客户端执行判断逻辑,对调用iframe页面的父页面进行判断,判断父页面是否在预先设置的白名单内,如果在白名单内,客户端即可以向服务端请求获取iframe页面进行显示,如果不在白名单内,则拒绝向服务端请求获取iframe页面。
但是,现有技术的这种方式,判断逻辑的逻辑代码都暴露在客户端,存在泄露风险,恶意攻击站点可以修改判断逻辑或者白名单,而使得可以继续调用iframe页面,因此安全性仍然较低。
发明内容
有鉴于此,本申请所要解决的技术问题是提供了一种页面显示方法及装置,提高了跨域调用的安全性。
为了解决上述技术问题,本申请公开了一种页面显示方法,包括:
服务端接收客户端发送的iframe页面显示请求;
根据所述iframe页面显示请求,确定调用所述iframe页面的父页面;
判断所述父页面是否满足调用条件;
在所述父页面满足调用条件时,指示所述客户端显示所述iframe页面;
在所述父页面不满足调用条件时,指示所述客户端不显示所述iframe页面。
优选地,所述判断所述iframe页面嵌套的父页面是否满足调用条件包括:
判断所述父页面是否位于白名单内,和/或所述父页面是否满足校验规则;所述白名单中包括预先配置的允许调用所述iframe页面的页面信息;
优选地,所述判断所述父页面是否满足校验规则包括:
判断所述父页面的页面地址中是否未包括过滤关键信息;
如果是,确定所述父页面满足校验规则;
如果否,确定所述父页面不满足校验规则。
优选地,所述判断所述父页面是否满足调用条件包括:
从策略中心设备获取预先配置的调用条件;所述策略中心设备用于接收配置请求,根据所述配置请求配置或更新所述调用条件;
判断所述父页面是否满足所述调用条件。
优选地,在判断所父页面不满足调用条件之后,所述方法还包括:
判断是否连续预设次数接收到所述客户端从所述父页面发起的所述iframe页面显示请求;
在连续预设次数接收到所述客户端从所述父页面发起的所述iframe页面显示请求时,根据所述父页面的页面信息更新所述调用条件。
一种页面显示装置,包括:
请求接收模块,用于接收客户端发送的iframe页面显示请求;
页面确定模块,用于根据所述iframe页面显示请求,确定调用所述iframe页面的父页面;
请求判断模块,用于判断所述父页面是否满足调用条件;
显示触发模块,用于在所述父页面满足调用条件时,指示所述客户端显示所述iframe页面;在所述父页面不满足调用条件时,指示所述客户端不显示所述iframe页面。
优选地,所述请求判断模块具体用于:
判断所述父页面是否位于白名单内,和/或所述父页面是否满足校验规则;所述白名单中包括预先配置的允许调用所述iframe页面的页面信息;
优选地,所述请求判断模块判断所述父页面是否满足校验规则具体是:
判断所述父页面的页面地址中是否未包括过滤关键信息,如果是,确定所述父页面满足校验规则,如果否,确定所述父页面不满足校验规则。
优选地,所述请求判断模块包括:
获取单元,用于从策略中心设备获取预先配置的调用条件;所述策略中心设备用于接收配置请求,根据所述配置请求配置或更新所述调用条件;
判断单元,用于判断所述父页面是否满足所述调用条件。
优选地,所述装置还包括:
异常判断模块,用于判断是否连续接收到所述客户端从所述父页面发起的所述iframe页面显示请求;
配置更新模块,用于在所述异常判断模块结果为是时,根据所述父页面的页面信息更新所述调用条件。
与现有技术相比,本申请可以获得包括以下技术效果:
服务端接收客户端发送的的iframe页面显示请求,确定调用所述iframe页面的父页面,并判断所述父页面是否满足调用条件,在所述父页面满足调用条件,再指示客户端显示iframe页面,否则指示客户端拒绝显示该iframe页面,由于在服务端进行安全性判断,可以避免泄露风险,提高了跨域调用的安全性,且在服务端可以对调用条件进行动态配置,随时更新,保证调用条件的准确性,进一步提高了跨域调用的安全性。
当然,实施本申请的任一产品必不一定需要同时达到以上所述的所有技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的一种页面显示方法一个实施例的流程图;
图2~图4分别是本申请实施例中的页面显示示意图;
图5是本申请实施例的一种页面显示装置一个实施例的结构示意图;
图6是本申请实施例的一个页面显示装置一个实施例的结构示意图。
具体实施方式
以下将配合附图及实施例来详细说明本申请的实施方式,藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
本申请技术方案主要应用于跨域调用场景中,由于任意的站点均可以通过iframe在其页面中嵌入其它站点的页面,这就存在恶意站点恶意调用iframe页面的情况。
为了保证跨域调用的安全性,发明人经过一系列研究提出本申请的技术方案,在本申请实施例中,由服务端接收客户端的iframe页面显示请求,确定调用所述iframe页面的父页面,并判断iframe页面的父页面是否满足调用条件,在iframe页面的父页面满足调用条件时,再指示客户端显示iframe页面,否则即指示客户端不显示该iframe页面,由于在服务端进行安全性判断,可以避免代码泄露风险,提高了安全性,且在服务端可以对调用条件进行动态配置,随时更新,保证调用条件的准确性,进一步提高了跨域调用的安全性。
下面结合附图对本申请技术方案进行详细描述。
图1为本申请实施例提供的一种页面显示方法一个实施例的流程图,本实施例所述技术方案应用于服务端中,具体可以是web服务器中,该方法可以包括以下几个步骤:
101:接收客户端的iframe页面显示请求。
其中,客户端可以是指浏览器(Browser)或者客户机(Client)。
iframe页面显示请求可以是用户通过点击等触发操作,操作客户端当前站点显示页面中通过iframe创建的iframe框架而触发的。
比如在A站点的页面中嵌入B站点的iframe框架,这个iframe框架可以为登录框架,以接收登录信息登录B站点,B站点的页面即为iframe页面,用户输入登录信息请求调用B站点的页面,即会触发iframe页面显示请求。
102:根据所述iframe页面显示请求,确定调用所述iframe页面的父页面。
103:判断所述父页面是否满足调用条件,如果是,执行步骤103,如果否,执行步骤104。
104:指示客户端显示所述iframe页面。
105:指示客户端不显示所述iframe页面。
在本申请实施例中,由服务端判断调用iframe页面的父页面是否满足调用条件,在满足调用条件时,再指示客户端显示iframe页面,如果不满足调用条件,即指示客户端不显示iframe页面。调用条件可以根据实际情况设置,以避免恶意站点的调用,由于在服务端进行安全性判断,可以避免代码泄露风险,提高了安全性,且在服务端,可以对调用条件进行动态配置,随时更新,保证调用条件的准确性,进一步提高了跨域调用的安全性。
作为又一个实施例,所述判断所述父页面是否满足调用条件可以包括:
判断所述父页面是否位于白名单内,和/或所述父页面是否满足校验规则;其中,所述白名单中包括预先配置的允许调用所述iframe页面的页面信息,页面信息例如可以是指页面地址等,白名单针对页面地址或域名进行校验。校验规则可以是对页面地址或域名的格式进行校验,例如校验规则可以是父页面的页面地址未包括过滤关键信息。也即如果父页面的页面地址包括过滤关键信息,不满足校验规则,如果不包括过滤关键信息,满足校验规则。
关键信息可以是指关键词或关键字符等,例如关键字符“../../”,包括关键字符的页面地址会认为不满足校验规则,请求被拦截,客户端即不会显示iframe页面。
白名单中的页面信息可以为页面地址中的域名信息,例如“.google.com”“.alipay.com”“.taobao.com”等。如果父页面的页面信息不在白名单内,则请求被拦截,客户端即不会显示iframe页面。
其中,判断所述父页面是否位于白名单内,和/或所述父页面是否满足校验规则可以包括以下几种情况:
判断所述父页面是否位于白名单内,或者所述父页面是否满足校验规则,可以优先判断父页面是否位于白名单内,如果所述父页面不位于白名单内时,再判断所述父页面是否满足校验规则;
或者,
判断所述父页面是否位于白名单内以及所述父页面是否满足校验规则。
因此服务端指示客户端显示所述iframe页面可以是在所述父页面位于白名单内、所述父页面满足校验规则或者所述父页面位于白名单内且满足校验规则。
服务端指示客户端不显示所述iframe页面可以是在所述父页面不位于白名单内且不满足校验规则或者所述父页面不满足位于白名单以及校验规则中的一个。
其中,调用条件可以预先配置,服务端可以接收用户的配置请求,进行调用条件的配置以及更新。
也即调用条件可以动态配置,可以根据实际情况或者风险情况进行更新,进一步提高了跨域调用的安全性。
其中,根据所述iframe页面显示请求,确定调用所述iframe页面的父页面,可以从所述iframe页面显示请求中的Referer信息获得。
Referer是header(标头)的一部分,当客户端向服务端发送请求的时候,一般会携带Referer,告知服务端请求是从哪个页面链接过来的,因此通过Referer可以获知iframe页面的父页面。
标头(header)是服务端与客户端基于HTTP协议传输时送出的字符串。
其中,指示客户端显示所述iframe页面,也即允许在父页面中通过iframe创建的iframe框架中嵌入iframe页面。
指示客户端不显示所述iframe页面可以包括:
指示客户端拒绝显示所述iframe页面;或者指示客户端显示错误提示信息。
如图2~图4所示的页面显示示意图中,图2为在父页面201中嵌入了iframe框架202,显示登录提示信息,通过填写账号以及密码等登录信息,执行登录操作,即触发向服务端发送iframe页面显示请求。
图3为服务端指示客户端拒绝显示所述iframe页面时的显示示意图,在父页面201的iframe框架中可以显示空白内容301。
图4为服务端指示客户端显示错误提示信息,在父页面201的iframe框架中可以显示错误提示信息页面401。
其中,指示客户端显示或拒绝显示iframe页面,可以通过服务端对客户端的响应进行设置,通过设置响应头中的X-Frame-Options,以指示客户端显示或拒绝显示所述iframe页面。
X-Frame-Options有三个值:
DENY,任何页面都不能被嵌入到iframe或者frame中。
SAMEORIGIN,页面只能被本站页面嵌入到iframe或者frame中。
ALLOW-FROM URI,页面自能被指定的Uri嵌入到iframe或frame中。
因此,通过设置X-Frame-Options为DENY,即可以使得客户端拒绝显示iframe页面。设置X-Frame-Options为ALLOW-FROM URI,即可以使得客户端可以显示iframe页面。
其中,判断所述父页面是否满足调用条件,可以包括:
从策略中心设备获取预先配置的调用条件;
判断所述父页面是否满足所述调用条件。
其中,所述策略中心设备用于接收配置请求,根据所述配置请求配置或更新所述调用条件。
当然,调用条件可以直接配置在服务端,服务端可以接收配置请求,根据所述配置请求配置或更新所述调用条件。
作为又一个实施例,判断所述父页面是否满足调用条件,可以是:
判断所述父页面是否在白名单内,和/或所述父页面是否满足从策略中心设备获取的校验规则。
也即白名单可以预先配置在服务端,校验规则可以预先配置在策略中心设备,对校验规则的判断需要从策略中心设备获取该校验规则。
另外,服务端在父页面在白名单内且不满足校验规则时,指示客户端拒绝显示iframe页面或者指示客户端显示错误提示信息,可以是从策略中心设备获取配置策略,按照所述配置策略,指示客户端拒绝显示iframe页面或者指示客户端显示错误提示信息。也即指示客户端拒绝显示iframe页面或者指示客户端显示错误提示信息的处理方式可以预先配置在策略中心设备,当然也可以预先配置在服务端。
此外,作为又一个实施例,在判断所父页面不满足调用条件之后,所述方法还包括:
判断是否连续预设次数接收到所述客户端从所述父页面发起的所述iframe页面显示请求;
在连续预设次数接收到所述客户端从所述父页面发起的所述iframe页面显示请求时,根据所述父页面的页面信息更新所述调用条件。
也即从如果不满足调用条件的父页面多次发起iframe页面显示请求时,可以认为父页面对应站点为恶意站点,根据父页面的页面信息可以更新所述调用条件,例如可以从父页面的页面信息中提取过滤关键信息,根据提取过滤关键信息更新校验规则等。
图5为本申请实施例提供的一种页面显示装置一个实施例的结构示意图,本实施例所述装置配置在服务端中,该装置可以包括:
请求接收模块501,用于接收客户端发送的iframe页面显示请求;
页面确定模块502,用于根据所述iframe页面显示请求,确定调用所述iframe页面的父页面;
请求判断模块503,用于判断所述父页面是否满足调用条件;
显示触发模块504,用于在所述iframe页面嵌套的父页面满足调用条件时,,指示所述客户端显示所述iframe页面;在所述在所述父页面不满足调用条件时,指示所述客户端不显示所述iframe页面。
在本申请实施例中,由服务端判断调用iframe页面的父页面是否满足调用条件,在满足调用条件时,再指示客户端显示iframe页面,如果不满足调用条件,即指示客户端不显示iframe页面。调用条件可以根据实际情况设置,以避免恶意站点的调用,由于在服务端进行安全性判断,可以避免代码泄露风险,提高了安全性,且在服务端,可以对调用条件进行动态配置,随时更新,保证调用条件的准确性,进一步提高了跨域调用的安全性。
其中,作为又一个实施例,所述请求判断模块503具体用于:
判断所述父页面是否位于白名单内,和/或所述父页面是否满足校验规则。
其中,所述白名单中包括预先配置的允许调用所述iframe页面的页面信息;页面信息例如可以是指页面地址等,白名单针对页面地址或域名进行校验。校验规则可以是对页面地址或域名的格式进行校验,例如校验规则可以是父页面的页面地址未包括过滤关键信息。也即如果父页面的页面地址包括过滤关键信息,不满足校验规则,如果不包括过滤关键信息,满足校验规则。
因此,所述请求判断模块503判断所述父页面是否满足校验规则可以是:
判断所述父页面的页面地址中是否未包括过滤关键信息,如果是,确定所述父页面满足校验规则,如果否,确定所述父页面不满足校验规则。
关键信息可以是指关键词或关键字符等,例如关键字符“../../”,包括关键字符的页面地址会认为不满足校验规则,请求被拦截,客户端即不会显示iframe页面。
其中,调用条件可以预先配置,服务端可以接收用户的配置请求,进行调用条件的配置以及更新。
也即调用条件可以动态配置,可以根据实际情况或者风险情况进行更新,进一步提高了跨域调用的安全性。
其中,页面确定模块502根据所述iframe页面显示请求,确定调用所述iframe页面的父页面,可以从所述iframe页面显示请求中的Referer信息获得。
Referer是header(标头)的一部分,当客户端向服务端发送请求的时候,一般会携带Referer,告知服务端请求是从哪个页面链接过来的,因此通过Referer可以获知iframe页面的父页面。
标头(header)是服务端与客户端基于HTTP协议传输时送出的字符串。
其中,所述显示触发模块504指示客户端不显示所述iframe页面可以包括:
指示客户端拒绝显示所述iframe页面;或者指示客户端显示错误提示信息。
指示客户端显示或拒绝显示iframe页面,可以通过服务端对客户端的响应进行设置,通过设置响应头中的X-Frame-Options,以指示客户端显示或拒绝显示所述iframe页面。
X-Frame-Options有三个值:
DENY,任何页面都不能被嵌入到iframe或者frame中。
SAMEORIGIN,页面只能被本站页面嵌入到iframe或者frame中。
ALLOW-FROM URI,页面自能被指定的Uri嵌入到iframe或frame中。
因此,通过设置X-Frame-Options为DENY,即可以使得客户端拒绝显示iframe页面。设置X-Frame-Options为ALLOW-FROM URI,即可以使得客户端可以显示iframe页面。
作为又一个实施例,所述请求判断模块503可以包括:
获取单元,用于从策略中心设备获取预先配置的调用条件;所述策略中心设备用于接收配置请求,根据所述配置请求配置或更新所述调用条件;
判断单元,用于判断所述父页面是否满足所述调用条件。
当然,调用条件可以直接配置在服务端,服务端可以接收配置请求,根据所述配置请求配置或更新所述调用条件。
作为又一个实施例,所述请求判断模块503可以是:
判断所述父页面是否在白名单内,和/或所述父页面是否满足从策略中心设备获取的校验规则。
也即白名单可以预先配置在服务端,校验规则可以预先配置在策略中心设备,对校验规则的判断需要从策略中心设备获取该校验规则。
作为又一个实施例,如图6所示,所述装置还可以包括:
异常判断模块505,用于判断是否连续接收到所述客户端从所述父页面发起的所述iframe页面显示请求;
配置更新模块506,用于在所述异常判断模块结果为是时,根据所述父页面的页面信息更新所述调用条件。
如果不满足调用条件的父页面多次发起iframe页面显示请求时,可以认为父页面对应站点为恶意站点,根据父页面的页面信息可以更新所述调用条件,例如可以从父页面的页面信息中提取过滤关键信息,根据提取过滤关键信息更新校验规则等。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。此外,“耦接”一词在此包含任何直接及间接的电性耦接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表所述第一装置可直接电性耦接于所述第二装置,或通过其他装置或耦接手段间接地电性耦接至所述第二装置。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
上述说明示出并描述了本申请的若干优选实施例,但如前所述,应当理解本申请并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述申请构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围,则都应在本申请所附权利要求的保护范围内。
Claims (10)
1.一种页面显示方法,其特征在于,包括:
服务端接收客户端发送的iframe页面显示请求;
根据所述iframe页面显示请求,确定调用所述iframe页面的父页面;
判断所述父页面是否满足调用条件;
在所述父页面满足调用条件时,指示所述客户端显示所述iframe页面;
在所述父页面不满足调用条件时,指示所述客户端不显示所述iframe页面。
2.如权利要求1所述方法,其特征在于,所述判断所述iframe页面嵌套的父页面是否满足调用条件包括:
判断所述父页面是否位于白名单内,和/或所述父页面是否满足校验规则;所述白名单中包括预先配置的允许调用所述iframe页面的页面信息。
3.如权利要求2所述的方法,其特征在于,所述判断所述父页面是否满足校验规则包括:
判断所述父页面的页面地址中是否未包括过滤关键信息;
如果是,确定所述父页面满足校验规则;
如果否,确定所述父页面不满足校验规则。
4.如权利要求1所述的方法,其特征在于,所述判断所述父页面是否满足调用条件包括:
从策略中心设备获取预先配置的调用条件;所述策略中心设备用于接收配置请求,根据所述配置请求配置或更新所述调用条件;
判断所述父页面是否满足所述调用条件。
5.如权利要求1所述的方法,其特征在于,在判断所父页面不满足调用条件之后,所述方法还包括:
判断是否连续预设次数接收到所述客户端从所述父页面发起的所述iframe页面显示请求;
在连续预设次数接收到所述客户端从所述父页面发起的所述iframe页面显示请求时,根据所述父页面的页面信息更新所述调用条件。
6.一种页面显示装置,其特征在于,包括:
请求接收模块,用于接收客户端发送的iframe页面显示请求;
页面确定模块,用于根据所述iframe页面显示请求,确定调用所述iframe页面的父页面;
请求判断模块,用于判断所述父页面是否满足调用条件;
显示触发模块,用于在所述父页面满足调用条件时,指示所述客户端显示所述iframe页面;在所述父页面不满足调用条件时,指示所述客户端不显示所述iframe页面。
7.如权利要求6所述装置,其特征在于,所述请求判断模块具体用于:
判断所述父页面是否位于白名单内,和/或所述父页面是否满足校验规则;所述白名单中包括预先配置的允许调用所述iframe页面的页面信息。
8.如权利要求7所述的装置,其特征在于,所述请求判断模块判断所述父页面是否满足校验规则具体是:
判断所述父页面的页面地址中是否未包括过滤关键信息,如果是,确定所述父页面满足校验规则,如果否,确定所述父页面不满足校验规则。
9.如权利要求6所述的装置,其特征在于,所述请求判断模块包括:
获取单元,用于从策略中心设备获取预先配置的调用条件;所述策略中心设备用于接收配置请求,根据所述配置请求配置或更新所述调用条件;
判断单元,用于判断所述父页面是否满足所述调用条件。
10.如权利要求6所述的装置,其特征在于,还包括:
异常判断模块,用于判断是否连续接收到所述客户端从所述父页面发起的所述iframe页面显示请求;
配置更新模块,用于在所述异常判断模块结果为是时,根据所述父页面的页面信息更新所述调用条件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610131630.1A CN107168980A (zh) | 2016-03-08 | 2016-03-08 | 页面显示方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610131630.1A CN107168980A (zh) | 2016-03-08 | 2016-03-08 | 页面显示方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107168980A true CN107168980A (zh) | 2017-09-15 |
Family
ID=59848407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610131630.1A Pending CN107168980A (zh) | 2016-03-08 | 2016-03-08 | 页面显示方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107168980A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110175302A (zh) * | 2019-05-20 | 2019-08-27 | 北京字节跳动网络技术有限公司 | 文档中内嵌网页的方法及装置 |
| CN112182442A (zh) * | 2020-09-28 | 2021-01-05 | 湖南亚信软件有限公司 | 页面处理方法、装置、电子设备及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
| CN103001817A (zh) * | 2011-09-16 | 2013-03-27 | 厦门市美亚柏科信息股份有限公司 | 一种实时检测网页跨域请求的方法和装置 |
| CN105208026A (zh) * | 2015-09-29 | 2015-12-30 | 努比亚技术有限公司 | 一种防止恶意攻击方法及网络系统 |
-
2016
- 2016-03-08 CN CN201610131630.1A patent/CN107168980A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001817A (zh) * | 2011-09-16 | 2013-03-27 | 厦门市美亚柏科信息股份有限公司 | 一种实时检测网页跨域请求的方法和装置 |
| CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
| CN105208026A (zh) * | 2015-09-29 | 2015-12-30 | 努比亚技术有限公司 | 一种防止恶意攻击方法及网络系统 |
Non-Patent Citations (1)
| Title |
|---|
| 丁晴: ""局内人才市场"网站的安全性设计", 《信息网络安全》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110175302A (zh) * | 2019-05-20 | 2019-08-27 | 北京字节跳动网络技术有限公司 | 文档中内嵌网页的方法及装置 |
| CN112182442A (zh) * | 2020-09-28 | 2021-01-05 | 湖南亚信软件有限公司 | 页面处理方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US11381629B2 (en) | Passive detection of forged web browsers | |
| CN104580074B (zh) | 客户端应用的登录方法及其相应的服务器 | |
| US10848505B2 (en) | Cyberattack behavior detection method and apparatus | |
| EP3522446B1 (en) | System and method for credentialed access to a remote server | |
| US9112828B2 (en) | Method for defending against session hijacking attacks and firewall | |
| CN105635178B (zh) | 保证安全的阻塞式网络访问方法及装置 | |
| EP2860906A1 (en) | Identity authentication method and device | |
| EP3830726B1 (en) | Content policy based notification of application users about malicious browser plugins | |
| CA2595758A1 (en) | System for detecting vulnerabilities in web applications using client-side application interfaces | |
| CN107436873A (zh) | 一种网址跳转方法、装置及中转装置 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN106453216A (zh) | 恶意网站拦截方法、装置及客户端 | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
| Kaur et al. | Browser fingerprinting as user tracking technology | |
| US9923916B1 (en) | Adaptive web application vulnerability scanner | |
| CN107819639B (zh) | 一种测试方法和装置 | |
| WO2019245734A1 (en) | Dynamically analyzing third-party application website certificates across users to detect malicious activity | |
| Jammalamadaka et al. | Delegate: A proxy based architecture for secure website access from an untrusted machine | |
| CN108881130A (zh) | 会话控制信息的安全控制方法和装置 | |
| CN107168980A (zh) | 页面显示方法及装置 | |
| US20120079575A1 (en) | System Architecture and Method for Secure Web Browsing Using Public Computers | |
| CN104954331A (zh) | 一种登录认证配置装置及方法 | |
| CN105071922A (zh) | 一种javascript使用密码设备的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1244077 Country of ref document: HK |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170915 |
|
| RJ01 | Rejection of invention patent application after publication |