[发明专利]网页安全检测方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种网页安全检测方法及装置。

背景技术

在相关技术中，ClickJacking(点击劫持)是一种基于视觉欺骗的Web攻击方式，通过诱导用户操作隐藏在页面上层的引用内容来执行部分恶意程序，隐藏内容是通过设置属性为透明的iframe控件来实现的。经过黑客精心设计的ClickJacking攻击页面，无论是用户有意或是无意的操作，都可能会下载恶意的木马程序、上传用户名密码等敏感信息。

在相关技术中，比较可靠的防护技术是使用超文本传输协议(HyperText Transfer Protocol，简称为HTTP)响应头信息中的X-Frame-Options属性进行防护，X-Frame-Options属性有三种取值：DENY，表示该页面不允许在iframe中展示，即便是在相同域名的页面中嵌套也不允许；SAMEORIGIN，表示该页面可以在相同域名页面的iframe中展示；ALLOW-FROM表示该页面可以在指定来源的iframe中展示。

但是，X-Frame-Options的DENY和SAMEORIGIN这两种属性会限制iframe的使用，而ALLOW-FROM虽然可以允许iframe，但这种实现方式是基于服务端的，增加了后台的负担。

针对相关技术中，由于点击劫持的造成的网页安全问题，目前还没有有效地解决方案。

发明内容

本发明实施例提供了一种网页安全检测方法及装置，以至少解决相关技术中由于点击劫持的造成的网页安全问题。

根据本发明的一个实施例，提供了一种网页安全检测方法，包括：

在引用站点与目标站点处于同源域的情况下，获取待检测控件列表，其中，该待检测控件列表中包括所述引用站点和所述目标站点的待检测控件，所述引用站点用于通过所述引用站点的待检测控件加载所述目标站点；

依据预设白名单判断所述待检测控件列表中的待检测控件是否为非法控件，并依据判断结果确定所述引用站点是否为合法站点。

可选地，依据判断结果确定所述引用站点是否为合法站点，包括：在所述待检测控件列表中的所有控件均存在于所述预设白名单中时，确定所述引用站点为合法站点，允许通过所述引用站点加载所述目标站点。

可选地，依据预设白名单判断所述待检测控件列表中的待检测控件是否为非法控件，并依据判断结果确定所述引用站点是否为合法站点，包括：

在所述待检测控件列表中的至少一个待检测控件未存在于所述预设白名单中时，确定所述至少一个待检测控件为非法控件，并确定所述引用站点为非法站点，拒绝通过所述引用站点加载所述目标站点。

可选地，所述获取引用站点和目标站点的一个或多个待检测控件之前，所述方法还包括：获取所述引用站点和所述目标站点各自的顶层统一资源定位符(Uniform Resource Locator，简称为url)路径，依据所述顶层url路径判断所述引用站点和所述目标站点是否属于同源域。

可选地，依据预设白名单判断所述待检测控件列表中的待检测控件是否为非法控件之前，所述方法还包括：从网络侧设备获取预先存储的所述预设白名单。

根据本发明的另一个实施例，还提供了一种网页安全检测方法，包括：

网络侧设备向用户设备下发预设白名单，其中，所述预设白名单用于为所述用户设备判断待检测控件列表中的待检测控件是否为合法控件提供依据，其中，所述待检测控件列表中包括引用站点和目标站点的待检测控件，所述引用站点用于通过所述引用站点的待检测控件加载所述目标站点。

可选地，所述网络侧设备通过以下方式之一向所述用户设备下发所述预设白名单，包括：所述网络侧设备依据预定时间点向所述用户设备下发所述预设白名单；所述网络侧设备接收所述用户设备的请求信息，并依据所述请求信息向所述用户设备下发所述预设白名单。

根据本发明的另一个实施例，还提供了一种网页安全检测装置，包括：

获取模块，用于在引用站点与目标站点处于同源域的情况下，获取待检测控件列表，其中，该待检测控件列表中包括所述引用站点和所述目标站点的待检测控件，所述引用站点用于通过所述引用站点的待检测控件加载所述目标站点；

判断模块，用于依据预设白名单判断所述待检测控件列表中的待检测控件是否为非法控件，并依据判断结果确定所述引用站点是否为合法站点。

可选地，所述判断模块还用于在所述待检测控件列表中的所有控件均存在于所述预设白名单中时，确定所述引用站点为合法站点，允许通过所述引用站点加载所述目标站点。