一種基于瀏覽器的信息處理方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于通信技術(shù)領(lǐng)域��,尤其涉及一種基于瀏覽器的信息處理方法及裝置�。
【背景技術(shù)】
[0002]跨站腳本攻擊(XSS,Cross Site Script)����,是當(dāng)前網(wǎng)絡(luò)上常見的一種攻擊瀏覽器的方式。XSS又分為存儲式XSS和反彈式XSS��,其中反彈式XSS是利用網(wǎng)站開發(fā)人員對輸入腳本的參數(shù)校驗不嚴(yán)���,致使惡意攻擊者可以往Web頁面里插入惡意超級文本標(biāo)記語言(html, Hyper Text Markup language)代碼�����,當(dāng)用戶瀏覽該頁面時��,嵌入其中Web里面的html代碼會被執(zhí)行�,從而導(dǎo)致用戶信息泄漏或者誘騙用戶進入惡意網(wǎng)址等�,達到惡意攻擊的目的。
[0003]可是���,目前國內(nèi)瀏覽器針對此種攻擊����,基本上沒有防護措施�����。大部分都只是采用IE或者谷歌(chrome)瀏覽器內(nèi)置的防護方法進行防護,兩者對反彈式XSS的防護大同小異�����,都是在超文本傳輸協(xié)議(HTTP,Hypertext transfer protocol)請求發(fā)出前,先對請求進行解析����,將識別出的HTTP內(nèi)容作為記號(token)保存。在HTTP響應(yīng)中檢測這些token是否存在�,如果存在,則將其過濾�����,并報警�。可是這種防護方式的缺陷在于:需要將可解析識別的HTTP內(nèi)容固化在代碼中�����,無法根據(jù)當(dāng)前情況做出迅速更新���;并且如果惡意代碼進行編碼或者拆分�,則有可能繞過防護,從而導(dǎo)致瀏覽器對XSS的防護力度不夠���,安全性不高。
[0004]綜上��,如何根據(jù)當(dāng)前情況來做出判斷����,以提高瀏覽器對XSS的防護力度、提高安全性是現(xiàn)有技術(shù)需要解決的技術(shù)問題之一�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種基于瀏覽器的信息處理方法及裝置,旨在解決現(xiàn)有技術(shù)瀏覽器對XSS的防護力度不夠和安全性不高的技術(shù)問題���。
[0006]為解決上述技術(shù)問題��,本發(fā)明實施例提供以下技術(shù)方案:
[0007]—種基于瀏覽器的信息處理方法����,其中��,所述方法包括:
[0008]在瀏覽器當(dāng)前網(wǎng)站的輸入框接收用戶輸入的內(nèi)容���;
[0009]對用戶輸入的所述內(nèi)容進行解析�,生成內(nèi)容分片;
[0010]判斷所述內(nèi)容分片是否滿足預(yù)設(shè)格式�,同時判斷所述當(dāng)前網(wǎng)站是否符合預(yù)設(shè)規(guī)則;以及
[0011]若所述內(nèi)容分片滿足預(yù)設(shè)格式�����,且所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則�,則將滿足預(yù)設(shè)格式的所述內(nèi)容分片發(fā)送至服務(wù)器。
[0012]為解決上述技術(shù)問題�����,本發(fā)明實施例還提供以下技術(shù)方案:
[0013]一種基于瀏覽器的信息處理裝置�����,其中�,所述裝置包括:
[0014]接收模塊,用于在瀏覽器當(dāng)前網(wǎng)站的輸入框接收用戶輸入的內(nèi)容��;
[0015]解析生成模塊���,用于對用戶輸入的所述內(nèi)容進行解析���,生成內(nèi)容分片��;
[0016]第一判斷模塊�,用于判斷所述內(nèi)容分片是否滿足預(yù)設(shè)格式����;
[0017]第二判斷模塊��,用于同時判斷所述當(dāng)前網(wǎng)站是否符合預(yù)設(shè)規(guī)則����;以及
[0018]發(fā)送模塊,用于若所述內(nèi)容分片滿足預(yù)設(shè)格式�,且所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則,則將滿足預(yù)設(shè)格式的所述內(nèi)容分片發(fā)送至服務(wù)器�。
[0019]相對于現(xiàn)有技術(shù),本實施例提供的基于瀏覽器的信息處理方法及裝置�����,對用戶輸入的內(nèi)容進行解析��,生成內(nèi)容分片���;若內(nèi)容分片滿足對應(yīng)的預(yù)設(shè)格式�,且當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則,則將滿足預(yù)設(shè)格式的內(nèi)容分片發(fā)送至服務(wù)器�,即對內(nèi)容的格式以及當(dāng)前網(wǎng)站同時進行限定,從而可以根據(jù)當(dāng)前情況來做出準(zhǔn)確判斷���,進而提高瀏覽器對XSS的防護力度�、提高安全性����。
【附圖說明】
[0020]圖1為本發(fā)明實施例提供的基于瀏覽器的信息處理系統(tǒng)的結(jié)構(gòu)示意圖;
[0021]圖2為本發(fā)明第一實施例提供的基于瀏覽器的信息處理方法的流程示意圖����;
[0022]圖3為本發(fā)明第二實施例提供的基于瀏覽器的信息處理方法的流程示意圖;
[0023]圖4為本發(fā)明第三實施例提供的基于瀏覽器的信息處理方法的流程示意圖����;
[0024]圖5為本發(fā)明第五實施例提供的基于瀏覽器的信息處理裝置的結(jié)構(gòu)示意圖;
[0025]圖6為本發(fā)明第六實施例提供的基于瀏覽器的信息處理裝置的結(jié)構(gòu)示意圖���。
【具體實施方式】
[0026]請參照圖式���,其中相同的組件符號代表相同的組件�,本發(fā)明的原理是以實施在一適當(dāng)?shù)倪\算環(huán)境中來舉例說明�。以下的說明是基于所例示的本發(fā)明具體實施例,其不應(yīng)被視為限制本發(fā)明未在此詳述的其它具體實施例���。
[0027]在以下的說明中��,本發(fā)明的具體實施例將參考由一部或多部計算機所執(zhí)行的步驟及符號來說明���,除非另有述明。因此����,這些步驟及操作將有數(shù)次提到由計算機執(zhí)行���,本文所指的計算機執(zhí)行包括了由代表了以一結(jié)構(gòu)化型式中的數(shù)據(jù)的電子信號的計算機處理單元的操作�。此操作轉(zhuǎn)換該數(shù)據(jù)或?qū)⑵渚S持在該計算機的內(nèi)存系統(tǒng)中的位置處����,其可重新配置或另外以本領(lǐng)域測試人員所熟知的方式來改變該計算機的運作。該數(shù)據(jù)所維持的數(shù)據(jù)結(jié)構(gòu)為該內(nèi)存的實體位置�,其具有由該數(shù)據(jù)格式所定義的特定特性。但是���,本發(fā)明原理以上述文字來說明���,其并不代表為一種限制�����,本領(lǐng)域測試人員將可了解到以下所述的多種步驟及操作亦可實施在硬件當(dāng)中�����。
[0028]本發(fā)明的原理使用許多其它泛用性或特定目的運算�����、通信環(huán)境或組態(tài)來進行操作�。所熟知的適合用于本發(fā)明的運算系統(tǒng)�����、環(huán)境與組態(tài)的范例可包括(但不限于)手持電話�����、個人計算機����、服務(wù)器����、多處理器系統(tǒng)�����、微電腦為主的系統(tǒng)�����、主架構(gòu)型計算機����、及分布式運算環(huán)境�����,其中包括了任何的上述系統(tǒng)或裝置����。
[0029]本文所使用的術(shù)語“模塊”可看做為在該運算系統(tǒng)上執(zhí)行的軟件對象。本文所述的不同組件����、模塊����、引擎及服務(wù)可看做為在該運算系統(tǒng)上的實施對象���。而本文所述的裝置及方法優(yōu)選的以軟件的方式進行實施�,當(dāng)然也可在硬件上進行實施���,均在本發(fā)明保護范圍之內(nèi)�����。
[0030]本文所使用的詞語“優(yōu)選的”意指用作實例��、示例或例證���。奉文描述為“優(yōu)選的”任意方面或設(shè)計不必被解釋為比其他方面或設(shè)計更有利。相反����,詞語“優(yōu)選的”的使用旨在以具體方式提出概念。如本申請中所使用的術(shù)語“或”旨在意指包含的“或”而非排除的“或”��。艮P,除非另外指定或從上下文中清楚����,“X使用A或B”意指自然包括排列的任意一個。艮P�,如果X使用A ;X使用B^X使用A和B 二者���,則“X使用A或B”在前述任一示例中得到滿足�����。
[0031]而且��,盡管已經(jīng)相對于一個或多個實現(xiàn)方式示出并描述了本公開��,但是本領(lǐng)域技術(shù)人員基于對本說明書和附圖的閱讀和理解將會想到等價變型和修改����。本公開包括所有這樣的修改和變型���,并且僅由所附權(quán)利要求的范圍限制。特別地關(guān)于由上述組件(例如元件�����、資源等)執(zhí)行的各種功能,用于描述這樣的組件的術(shù)語旨在對應(yīng)于執(zhí)行所述組件的指定功能(例如其在功能上是等價的)的任意組件(除非另外指示)�����,即使在結(jié)構(gòu)上與執(zhí)行本文所示的本公開的示范性實現(xiàn)方式中的功能的公開結(jié)構(gòu)不等同��。此外����,盡管本公開的特定特征已經(jīng)相對于若干實現(xiàn)方式中的僅一個被公開,但是這種特征可以與如可以對給定或特定應(yīng)用而言是期望和有利的其他實現(xiàn)方式的一個或多個其他特征組合���。而且���,就術(shù)語“包括”、“具有”��、“含有”或其變形被用在【具體實施方式】或權(quán)利要求中而言���,這樣的術(shù)語旨在以與術(shù)語“包含”相似的方式包括���。
[0032]請參閱圖1�,圖1為本發(fā)明實施例提供的基于瀏覽器的信息處理系統(tǒng)的結(jié)構(gòu)示意圖���,所述基于瀏覽器的信息處理系統(tǒng)包括客戶端11以及服務(wù)器12�。
[0033]其中所述客戶端11是使用者為了利用網(wǎng)絡(luò)服務(wù)而使用的通信終端裝置���,其可通過通信網(wǎng)路與所述服務(wù)器12連接��。所述客戶端11不僅可以由桌上型計算機構(gòu)成����,還可以由筆記型計算機���、工作站����、掌上型計算機�、UMPC(Ultra Mobile Personal Computer:超移動個人計算機)、平板PC�����、個人數(shù)字助理(Personal Digital Assistant, PDA)�、連網(wǎng)板(webpad)、可攜式電話等具備儲存單元并安裝有微處理器而具有運算能力的終端機構(gòu)成�����。
[0034]其中所述客戶端11與所述服務(wù)器12之間的所述通信網(wǎng)路可以包括將局域網(wǎng)絡(luò)(Local Area Network, LAN)���、都會網(wǎng)絡(luò)(Metropolitan Area Network, MAN)��、廣域網(wǎng)絡(luò)(Wide Area Network, WAN)�����、因特網(wǎng)等包括在內(nèi)的數(shù)據(jù)通信網(wǎng)絡(luò),還包括電話網(wǎng)絡(luò)等,不分有線和無線���,使用任何通信方式均無關(guān)。
[0035]而所述服務(wù)器12存儲有用于檢測用戶輸入的內(nèi)容分片相對應(yīng)的預(yù)設(shè)格式��,以及用于檢測用戶訪問的網(wǎng)站的預(yù)設(shè)規(guī)則�。
[0036]本發(fā)明實施例中,客戶端11在瀏覽器當(dāng)前網(wǎng)站的輸入框接收用戶輸入的內(nèi)容��,對用戶輸入的內(nèi)容進行解析�����,生成內(nèi)容分片;對內(nèi)容分片的格式以及當(dāng)前網(wǎng)站同時進行判斷��,若內(nèi)容分片滿足對應(yīng)的預(yù)設(shè)格式���,且當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則�,則將滿足預(yù)設(shè)格式的內(nèi)容分片發(fā)送至服務(wù)器�;也就是說,對內(nèi)容的格式以及當(dāng)前網(wǎng)站同時進行限定�,從而可以根據(jù)當(dāng)前情況來做出準(zhǔn)確判斷,進而提高瀏覽器對XSS的防護力度����、提高安全性。
[0037]第一實施例
[0038]請參閱圖2�����,圖2是本發(fā)明第一實施例提供的基于瀏覽器的信息處理方法的流程示意圖����。
[003