步驟S407中����,若所述內(nèi)容分片滿足預(yù)設(shè)格式�����,且所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則��,則將滿足預(yù)設(shè)格式的所述內(nèi)容分片發(fā)送至服務(wù)器�。
[0089]本實施例中�����,對用戶輸入的內(nèi)容的格式進行限制�����,即采用了白名單的方式對用戶輸入加以限制�����,以及同時對當(dāng)前網(wǎng)站進行限定�����,具體的��,從當(dāng)前訪問該網(wǎng)站的時間段進行限定;當(dāng)所述內(nèi)容分片滿足預(yù)設(shè)格式���,且當(dāng)前不是處于預(yù)設(shè)的高風(fēng)險期間時,將滿足預(yù)設(shè)格式的內(nèi)容分片發(fā)送至服務(wù)器���;同時��,可選的�,若所述內(nèi)容分片不滿足對應(yīng)的預(yù)設(shè)格式����,和/或,當(dāng)前網(wǎng)站不符合預(yù)設(shè)規(guī)則�����,則可以將不滿足預(yù)設(shè)格式的所述內(nèi)容分片進行過濾�。
[0090]由上述可知,本實施例中提供的基于瀏覽器的信息處理方法��,對用戶輸入的內(nèi)容進行解析��,生成內(nèi)容分片����;若內(nèi)容分片滿足對應(yīng)的預(yù)設(shè)格式���,且當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則,則將滿足預(yù)設(shè)格式的內(nèi)容分片發(fā)送至服務(wù)器�����,即對內(nèi)容的格式以及當(dāng)前網(wǎng)站同時進行限定����,從而可以根據(jù)當(dāng)前情況來做出準確判斷,進而提高瀏覽器對XSS的防護力度����、提高安全性。
[0091]第四實施例
[0092]為了更好的理解本發(fā)明實施例提供的基于瀏覽器的信息處理方法���,以下一個實際應(yīng)用中的具體場景進行分析說明:
[0093]目前��,現(xiàn)有的反射型XSS漏洞主要是由于開發(fā)人員對用戶的輸入沒有校驗����,將其全部或部分作為數(shù)據(jù)寫入網(wǎng)頁并回饋,向用戶顯示���。比如一個帶有XSS漏洞的示例網(wǎng)頁可如下所示:
[0094]test, php
[0095]"< ? php
[0096]$name = $_GET ["name"]����;
[0097]echo"hello$name"�;
[0098]? >〃
[0099]可以理解的是���,正常情況下�,此網(wǎng)頁用于展示一條歡迎信息�。但是如果用戶被誘導(dǎo)輸入如下的統(tǒng)一資源定位符URL (Uniform Resource Locator):
[0100]^http://victim/test, php ? name = <script>alert("XSS")〈/script〉"
[0101]此時,客戶端顯示裝置會顯示來自網(wǎng)頁的XSS的提醒消息�,也就是說,插入在URL中的腳本指令被執(zhí)行了�。由于是從可信域中返回的網(wǎng)頁,所以此腳本對本域中的數(shù)據(jù)具有讀寫權(quán)限��。而從用戶的角度來看����,這個網(wǎng)頁是從可信網(wǎng)站返回的,因此不會懷疑或被過濾�。如果在此偽裝成登錄框,用戶可能會輸入比如口令等敏感信息�。
[0102]以IE8為例����,其內(nèi)置的XSS過濾器核心功能如下:檢查跨域請求中的每一個參數(shù)值�����,以確定是否有惡意注入的可能性�����。同時IE自身包含有一個常見攻擊字符串的正則列表�����,如果符合特征�,則將其記錄起來。例如:
[0103]{〈sc {r} ipt.* ? >}匹配〈script>xxx〈/script> 類型的腳本��;
[0104]{〈sc {r} ipt.* ? [/+\t]*? src[/+\t]* = }匹配〈script src = xxx> 類型的腳本�;
[0105]如果在第一步中發(fā)現(xiàn)有惡意參數(shù),則檢查服務(wù)器響應(yīng)�,看其中是否包含相同的特征。如果包含特征�����,則進行過濾。這是現(xiàn)有的一種黑名單的過濾方式�,但是html的容錯性很強,使用比如ScRiPt等類似的編碼后輸入即可避過過濾����,同樣在用戶機器上可以執(zhí)行腳本。
[0106]而實際上在類似場景的輸入中����,不應(yīng)包含諸如〈script〉等html標記符���。這個過濾輸入的動作本應(yīng)由網(wǎng)頁的作者完成����。但是由于有些開發(fā)人員安全意識比較單薄���,只是單純的完成了功能����。
[0107]在本方案中�,腳本標簽是嚴格禁止的,規(guī)則文件(即預(yù)設(shè)格式)可參考如下:〃〈tagname = 〃script〃act1n = 〃remove〃/>〃 ;在經(jīng)過 html 引擎解析后�����,所有包含 script 標簽的輸入將被antixss模塊根據(jù)規(guī)則過濾��;同時����,若判斷出當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則,則將滿足預(yù)設(shè)格式的內(nèi)容分片發(fā)送至服務(wù)器����,即對內(nèi)容的格式以及當(dāng)前網(wǎng)站同時進行限定,從而可以根據(jù)當(dāng)前情況來做出準確判斷���,從而有效的避免了 XSS的攻擊�����,提高瀏覽器對XSS的防護力度�����、提高安全性��。
[0108]第五實施例
[0109]為便于更好的實施本發(fā)明實施例提供的基于瀏覽器的信息處理方法���,本發(fā)明實施例還提供一種基于上述基于瀏覽器的信息處理方法的裝置�。其中名詞的含義與上述基于瀏覽器的信息處理的方法中相同��,具體實現(xiàn)細節(jié)可以參考方法實施例中的說明���。
[0110]請參閱圖5���,圖5為本發(fā)明實施例提供的基于瀏覽器的信息處理裝置的結(jié)構(gòu)示意圖,其中所述基于瀏覽器的信息處理裝置包括接收模塊51����、解析生成模塊52���、第一判斷模塊53��、第二判斷模塊54以及發(fā)送模塊55����。
[0111]其中所述接收模塊51���,在瀏覽器當(dāng)前網(wǎng)站的輸入框接收用戶輸入的內(nèi)容���;所述解析生成模塊52�,對用戶輸入的所述內(nèi)容進行解析����,生成內(nèi)容分片;所述第一判斷模塊53����,判斷所述內(nèi)容分片是否滿足預(yù)設(shè)格式;
[0112]在所述第一判斷模塊53判斷所述內(nèi)容分片是否滿足預(yù)設(shè)格式的同時�����,所述第二判斷模塊54���,判斷所述當(dāng)前網(wǎng)站是否符合預(yù)設(shè)規(guī)則�;所述發(fā)送模塊55��,若所述內(nèi)容分片滿足預(yù)設(shè)格式��,且所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則����,則將滿足預(yù)設(shè)格式的所述內(nèi)容分片發(fā)送至服務(wù)器�����。
[0113]其中�����,所述基于瀏覽器的信息處理裝置可以包括臺式計算機���、平板電腦、具有觸摸功能的手機等具備儲存單元并安裝有微處理器而具有運算能力的設(shè)備�。
[0114]可以理解的是,本發(fā)明實施例中所述內(nèi)容分片對應(yīng)的預(yù)設(shè)格式����,以及訪問的網(wǎng)站的預(yù)設(shè)規(guī)則可以通過預(yù)設(shè)置的方式進行存儲。其中�,所述內(nèi)容分片對應(yīng)的預(yù)設(shè)格式可以以標簽的形式進行設(shè)置,此處不作具體限定����。
[0115]本實施例中���,對用戶輸入的內(nèi)容的格式進行限制���,即采用了白名單的方式對用戶輸入加以限制����,以及同時對當(dāng)前網(wǎng)站進行限定���,當(dāng)所述內(nèi)容分片滿足預(yù)設(shè)格式���,且所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則時,將滿足預(yù)設(shè)格式的內(nèi)容分片發(fā)送至服務(wù)器���;同時�����,可選的����,若所述內(nèi)容分片不滿足對應(yīng)的預(yù)設(shè)格式���,和/或�����,當(dāng)前網(wǎng)站不符合預(yù)設(shè)規(guī)則�,則可以將不滿足預(yù)設(shè)格式的所述內(nèi)容分片進行過濾。
[0116]可以理解的是���,在某些實施例中��,可以針對具體情況(如網(wǎng)站出現(xiàn)漏洞)��,采用云推送措施對安全性規(guī)則進行迅速更新升級�����,如當(dāng)前網(wǎng)站為重要網(wǎng)站或當(dāng)前處于高風(fēng)險期間等����,可以對安全性規(guī)則進行進一步升級���,從而對瀏覽器進行更好的防護�。同樣的����,當(dāng)網(wǎng)站漏洞消失后,也可以將升級更新后的安全性規(guī)則刪除�,此處不作具體限定。
[0117]由上述可知�,本實施例中提供的基于瀏覽器的信息處理裝置,對用戶輸入的內(nèi)容進行解析��,生成內(nèi)容分片��;若內(nèi)容分片滿足對應(yīng)的預(yù)設(shè)格式�,且當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則,則將滿足預(yù)設(shè)格式的內(nèi)容分片發(fā)送至服務(wù)器�,即對內(nèi)容的格式以及當(dāng)前網(wǎng)站同時進行限定,從而可以根據(jù)當(dāng)前情況來做出準確判斷��,進而提高瀏覽器對XSS的防護力度�����、提高安全性����。
[0118]第六實施例
[0119]請參閱圖6,圖6為本發(fā)明第六實施例提供的基于瀏覽器的信息處理裝置的結(jié)構(gòu)示意圖�����;其中,所述基于瀏覽器的信息處理裝置包括接收模塊61��、解析生成模塊62�����、第一判斷模塊63���、第二判斷模塊64以及發(fā)送模塊65�。
[0120]其中所述接收模塊61�,在瀏覽器當(dāng)前網(wǎng)站的輸入框接收用戶輸入的內(nèi)容;所述解析生成模塊62��,對用戶輸入的所述內(nèi)容進行解析���,生成內(nèi)容分片�;所述第一判斷模塊63���,判斷所述內(nèi)容分片是否滿足預(yù)設(shè)格式���;
[0121]在所述第一判斷模塊63判斷所述內(nèi)容分片是否滿足預(yù)設(shè)格式的同時,所述第二判斷模塊64,判斷所述當(dāng)前網(wǎng)站是否符合預(yù)設(shè)規(guī)則���;所述發(fā)送模塊65���,若所述內(nèi)容分片滿足預(yù)設(shè)格式�,且所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則,則將滿足預(yù)設(shè)格式的所述內(nèi)容分片發(fā)送至服務(wù)器�����。
[0122]在一種實施方式中��,所述第二判斷模塊64�����,判斷所述瀏覽器的當(dāng)前網(wǎng)站是否為預(yù)設(shè)的重要網(wǎng)站����,若所述當(dāng)前網(wǎng)站為預(yù)設(shè)的重要網(wǎng)站,則判斷出所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則����。
[0123]在另一種實施方式中��,所述第二判斷模塊64���,判斷當(dāng)前是否處于預(yù)設(shè)的高風(fēng)險期間,若當(dāng)前不是處于預(yù)設(shè)的高風(fēng)險期間�,則判斷出所述當(dāng)前網(wǎng)站符合預(yù)設(shè)規(guī)則。
[0124]優(yōu)選的����,所述基于瀏覽器的信息處理裝置還可以包括:
[0125]第一升級模塊66,若所述當(dāng)前網(wǎng)站為預(yù)設(shè)的重要網(wǎng)站��,則對內(nèi)容分片的預(yù)設(shè)格式進行升級更新����;則所述第一判斷模塊63���,判斷所述內(nèi)容分片是否滿足升級更新后的格式�����。
[0126]優(yōu)選的��,所述基于瀏覽器的信息處理裝置還可以包括:
[0127]第二升級模塊67���,若當(dāng)前處于預(yù)設(shè)的高風(fēng)險期間,則對內(nèi)容分片的預(yù)設(shè)格式進行升級更新���;則所述第一判斷模塊63��,判斷所述內(nèi)容分片是否滿足升級更新后的格式���。
[0128]可以理解的是���,若所述當(dāng)前網(wǎng)站為預(yù)設(shè)的重要網(wǎng)站和/或當(dāng)前處于預(yù)設(shè)的高風(fēng)險期間�,則對內(nèi)容分片的預(yù)設(shè)格式進行升級更新�,則判斷所述內(nèi)容分片是否滿足升級更新后的格式�����;在本實施例中�����,具體的���,若所述當(dāng)前網(wǎng)站為預(yù)設(shè)的重要網(wǎng)站和/或當(dāng)前處于預(yù)設(shè)的高風(fēng)險期間�����,則對內(nèi)容分片所屬的標簽對應(yīng)的格式信息所指示的格式進行升級更新�����,則判斷所述內(nèi)容分片是否滿足升級更新后的格式。
[012