XSS攻击防御方法及相关设备技术

本申请提供一种XSS攻击防御方法，应用于电子设备，所述方法包括：获取多个网站用于XSS攻击防御的端侧XSS安全策略；将获取的端侧XSS安全策略配置在电子设备中；向网页服务器发送网页的访问请求；接收网页服务器返回的网页数据；若请求的网页的URL在电子设备配置的端侧XSS安全策略中，根据请求的网页的URL对应的端侧XSS安全策略和网页数据对网页进行渲染。本申请可以提高XSS攻击防御的可靠性，避免用户受到XSS攻击。受到XSS攻击。受到XSS攻击。

【技术实现步骤摘要】
XSS攻击防御方法及相关设备


[0001]本申请涉及网络安全
，尤其涉及一种XSS攻击防御方法及相关设备。

技术介绍

[0002]跨站脚本(Cross-site scripting，XSS)攻击是一种网站应用的安全漏洞攻击，是代码注入的一种。XSS攻击通常指的是恶意用户利用网页开发时留下的漏洞，注入恶意指令代码到网页，使用户在观看网页时加载并执行攻击者恶意制造的网页程序。攻击成功后，攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
[0003]现有的XSS攻击防御方法是将内容安全策略(Content-Security-Policy，CSP)分散配置在各个网页服务器(即服务端)，所有的配置由网页服务器进行，用户终端上的应用只能被动接收网页服务器返回的CSP，根据网页服务器返回的CSP进行XSS攻击防御。由于每个网页服务器只负责对应网站(通常为一个网站)/网页的CSP配置，而用户终端上的应用通常会访问不同网页服务器提供的网站/网页，因此，一旦访问的网站/网页出现XSS漏洞且该网站/网页对应的网页服务器没有配置或者没有合理配置CSP，用户终端上的应用就会受到攻击，风险不可控。

技术实现思路

[0004]本申请实施例公开了一种XSS攻击防御方法及相关设备，能够提高XSS攻击防御的可靠性，避免用户受到XSS攻击。
[0005]本申请第一方面公开了一种XSS攻击防御方法，应用于电子设备，所述方法包括：
[0006]获取多个网站用于XSS攻击防御的端侧XSS安全策略；
[0007]将获取的端侧XSS安全策略配置在所述电子设备中；
[0008]向网页服务器发送网页的访问请求；
[0009]接收所述网页服务器返回的网页数据；
[0010]若请求的网页的URL在所述电子设备配置的端侧XSS安全策略中，根据所述请求的网页的URL对应的端侧XSS安全策略和所述网页数据对所述网页进行渲染。
[0011]其中，配置到电子设备中的XSS安全策略对应于多个网站，例如电子设备允许访问的所有网站。通过将多个网站的端侧XSS安全策略配置到电子设备，根据电子设备中配置的端侧XSS安全策略进行网页渲染，即使网页服务器没有对网页进行XSS安全配置或者没有进行合理的XSS安全配置，电子设备也能根据其中配置的端侧XSS安全策略进行XSS攻击防御，网页中的XSS漏洞将无法造成实际的攻击影响。因此，本申请能够提高XSS攻击防御的可靠性，避免用户受到XSS攻击。
[0012]在一些可选的实施方式中，所述获取多个网站用于XSS攻击防御的端侧XSS安全策略包括：
[0013]从策略服务器获取XSS安全规则；
[0014]将所述XSS安全规则解析成所述端侧XSS安全策略。
[0015]其中，每个URL对应一个XSS安全规则，通过将XSS安全规则从策略服务器传送给电子设备中的应用，可以减少策略服务器和电子设备之间的数据传输。
[0016]在一些可选的实施方式中，所述XSS安全规则的数据格式为：
[0017]<rule>::＝<url>
″
:
″
<policy>
″
；
″
[<policy>
″
；
″
][0018]其中，rule表示XSS安全规则，policy表示端侧XSS安全策略，policy的数据格式为：
[0019]<policy>::＝
″
CSP
″
<Content-Security-Policy>|
″
OSP
″
<other>
[0020]其中，
″
CSP
″
表示内容安全策略，
″
OSP
″
表示其他安全策略。
[0021]其中，端侧XSS安全策略包括内容安全策略和其他安全策略，其他安全策略可以根据实际需要进行设定，从而提高端侧XSS安全策略的可扩展性。
[0022]在一些可选的实施方式中，所述内容安全策略由一个或多个policy-directive构成，每个policy-directive指定一个内容访问的白名单：
[0023][0024]其中，Content-Security-Policy表示内容安全策略，policy-directive包括directive和value两部分，directive指示采用内容访问策略的数据位置，value表示具体的白名单，由URL构成。
[0025]在一些可选的实施方式中，所述根据所述请求的网页的URL对应的端侧XSS安全策略和所述网页数据对所述网页进行渲染包括：
[0026]判断所述网页是否包含外部资源，若所述网页包含外部资源，则不加载该外部资源；和/或
[0027]判断所述网页的表单是否提交到所述网页对应的域名，若所述网页的表单不是提交到所述网页对应的域名，则不提交该表单；和/或
[0028]判断所述网页中base标签的URL对应的域名与所述网页对应的域名是否相同，若所述网页中base标签的URL对应的域名与所述网页对应的域名不同，则不加载所述网页上的链接。
[0029]在一些可选的实施方式中，所述方法还包括：
[0030]若所述网页包含外部资源，或者若所述网页的表单不是提交到所述网页对应的域名，或者若所述网页中base标签的URL对应的域名与所述网页对应的域名不同，则显示第一提示界面，在所述第一提示界面提示所述网页存在XSS漏洞。
[0031]在一些可选的实施方式中，所述电子设备包括Webview组件，所述电子设备通过所述Webview组件实现所述XSS攻击防御方法。
[0032]在一些可选的实施方式中，所述方法还包括：
[0033]统计所述电子设备访问的各个网站对应的XSS漏洞次数；
[0034]显示第二提示界面，在所述第二提示界面提示高XSS漏洞次数的网站。
[0035]在一些可选的实施方式中，所述电子设备在接收所述网页服务器返回的网页数据
的同时，还接收所述网页服务器返回的服务端内容安全策略，所述方法还包括：
[0036]若请求的网页的URL不在所述端侧XSS安全策略中，则根据所述服务端内容安全策略和所述网页数据对所述网页进行渲染。
[0037]通过在网页服务器和电子设备分别配置安全策略可以进一步提高XSS攻击防御的可靠性。电子设备优先使用端侧配置的安全策略进行XSS攻击防御，如果电子设备没有配置相应的安全策略，则根据网页服务器配置的安全策略来防御XSS攻击。
[0038]本申请第二方面公本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种跨站脚本XSS攻击防御方法，应用于电子设备，其特征在于，所述方法包括：获取多个网站用于XSS攻击防御的端侧XSS安全策略；将获取的端侧XSS安全策略配置在所述电子设备中；向网页服务器发送网页的访问请求；接收所述网页服务器返回的网页数据；若请求的网页的URL在所述电子设备配置的端侧XSS安全策略中，根据所述请求的网页的URL对应的端侧XSS安全策略和所述网页数据对所述网页进行渲染。2.如权利要求1所述的XSS攻击防御方法，其特征在于，所述获取多个网站用于XSS攻击防御的端侧XSS安全策略包括：从策略服务器获取XSS安全规则；将所述XSS安全规则解析成所述端侧XSS安全策略。3.如权利要求2所述的XSS攻击防御方法，其特征在于，所述XSS安全规则的数据格式为：<rule>::＝<url>
″
:
″
<policy>
″
；
″
[<policy>
″
；
″
]其中，rule表示XSS安全规则，policy表示端侧XSS安全策略，policy的数据格式为：<policy>::＝
″
CSP
″
<Content-Security-Policy>|
″
OSP
″
<other>其中，
″
CSP
″
表示内容安全策略，
″
OSP
″
表示其他安全策略。4.如权利要求3所述的XSS攻击防御方法，其特征在于，所述内容安全策略由一个或多个policy-directive构成，每个policy-directive指定一个内容访问的白名单：其中，Content-Security-Policy表示内容安全策略，policy-directive包括directive和value两...

【专利技术属性】
技术研发人员：秦策，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：