[发明专利]在JS中主动进行安全保护的方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种在Java script中主动进行安全保护的方法及装置。

背景技术

Java script（JS、Js、js）是由Netscape开发的对象脚本语言，其特点是开发简单、功能灵活，目前已广泛应用于WEB页面及服务器应用程序中。HTML本身是静态的、不允许用户干预，但用Java script编写的脚本程序就可以在用户的浏览器端运行，可以同用户进行交互，从而实现动态页面。可以将Java script与嵌入WEB的大多数对象的事件（如鼠标点击、移动等）相关联，然后用自己的方式处理这些事件。Java script提供了丰富的内置函数及命令，能在浏览器中显示HTML、数值计算、多媒体播放、超级链接以及简单的交互窗口等，还可以使在浏览器中运行的小Java应用程序的性质改变从而很容易地改变控件或其它对象的行为而不必深入研究其本身的结构。

目前，浏览器主要由三大部分组成：DOM（文档对象模型）、Java script引擎和页面渲染。Java script的标准是ECMA-262，其最新版本已经是第5版。但不同浏览器支持的程度略有区别。引擎用于分析、编译和执行脚本或代码，并根据JS数据类型和对象的需要进行内存分配及释放操作。开源Java script引擎有chrome的V8引擎，Mozilla的Spider Monkey；闭源Java script引擎有微软的IE浏览器。常用浏览器都是使用了IE的内核和Chrome的内核，因此Java script引擎也都是由相应内核提供的，都要支持ECMA-262标准。

目前恶意脚本已成为互联网中主要的威胁。为应付这一威胁，浏览器只是采用黑名单的方式来拒绝访问已知含有恶意脚本的网页。对于未知是否含有恶意脚本的页面，浏览器只是提供了是否禁用脚本的选项。对于大部分网页来说，禁用脚本后多数都无法正常显示。

现有技术方案之一：浏览器利用黑名单的方式，收集已知的含有恶意脚本的页面，保存到黑名单里。在用户访问页面前，查看是否命中黑名单。如命中，则拒绝访问。如果没有命中，允许进行访问。该方案的缺点：只能预防已发现的含有恶意脚本的页面，因为只能防范已知且已加入黑名单里的恶意脚本网页，对于层出不穷的新产生的恶意脚本则无法防范。

现有技术方案之二：在浏览器控制选项里，禁止Java script脚本运行。该方案的缺点：禁用后所有脚本都不能运行，现在的网页，几乎或多或少都会用到Java script。禁止Java script脚本运行后，很多页面都无法正常显示。所以，这样的办法人们几乎都不会采用。

中国专利申请号201010525989.X公开一种widget应用安全保护方法。用于对widget进行保护，通过配置文件控制Java script API的访问权限。Java script API可以看作是由很多具体Java script脚本组成的功能代码。如果允许访问就会调用Java script引擎运行这些Java script代码；如果不允许访问，则连Java script引擎都不会调用。

中国专利申请号200810167839.9公开一种Java script对象的调用方法、系统和终端。该方法与上述方法类似，也是通过权限设置，在Java script引擎外确定什么可以调用什么不可以调用。

上述两种方法存在的问题是无法在执行Java script代码时进行实时保护，也就是说通过Java script引擎直接确定保护策略，从而对Java script代码进行主动保护。

有鉴于此，业界亟需一种在Java script中主动进行安全保护的方法，以主动识别恶意Java script，发现后主动隔离。这样可以保护用户浏览网页的安全，而且即使是已知含有恶意Java script脚本的页面，用户也可以正常浏览而不是拒绝访问。这样可以极大的提高浏览网页的用户体验。

发明内容

为了解决上述技术问题，本发明的目的之一在于提供一种在Java script中主动进行安全保护的方法，应用于网页浏览器，包括以下步骤：S1、通过浏览器调用JS引擎来处理JS脚本；S2、启动所述JS引擎后，生成JS安全管理模块；S3、在浏览器内核调用所述JS引擎执行所述JS脚本时，将当前执行的事件类型传入所述JS安全管理模块，以便JS引擎在此基础上提供主动保护；以及S4、所述JS引擎在执行正常脚本时，所述JS安全管理模块始终跟踪传入的所述事件类型，并在产生安全问题的时候进行保护。