[发明专利]基于XSS和CSRF的Web攻击防御系统及其方法

权利要求书

1.一种基于XSS和CSRF的Web防御系统，其特征在于：

本系统包括用户（100）和Web服务器（300）；

设置有攻击防御服务器（200），攻击防御服务器（200）包括过滤模块（210）、白名单模块模块（220）和令牌拦截模块（230）；

其交互关系是：

用户（100）、过滤模块（210）、令牌拦截模块（230）和Web服务器（300）依次交互；

白名单模块模块（220）分别与过滤模块（210）和令牌拦截模块（230）交互；

所述的过滤模块（210）是一种采用Servlet技术，实现HTTP请求和响应过滤的方法；

所述的白名单模块（220）是一种重新整理HTML标签及属性的方法；

所述的令牌拦截模块（230）是一种插入令牌和拦截HTTP请求的方法。

2.基于权利要求1所述系统的基于XSS和CSRF的Web攻击防御方法，其特征在于：

①过滤模块采用验证用户输入合法性，特殊字符处理，cookie防盗，以及递归净化敏感词汇四种方式过滤用户输入；

②白名单模块针对HTML脚本注入，使用HTML解析库遍历所有的节点，获取其中数据的原有标签属性，通过白名单模块中的标签重新构建HTML元素树，从根本上防范HTML脚本注入攻击；

③令牌拦截模块通过Token验证功能对不符合要求的HTTP请求进行拦截。

3.按权利要求2所述的基于XSS和CSRF的Web攻击防御方法，其特征在于步骤①：

a、用户数据合法性验证，在表单端对用户输入的文本长度，数据类型，格式进行严格限制，例如输入手机号码的文本框只允许11位纯数字，邮箱名文本框邮箱的格式要正确；

b、特殊字符处理，XSS的核心都是利用了脚本注入，不信赖用户输入，对特殊字符如”<”,”>”,”;”,”’”转义，就可以从根本上防止这一问题；

c、cookie防盗，为cookie加上HttpOnly标记,被标记上的cookie是不允许任何脚本读取或修改的，这样即使Web应用产生了XSS漏洞，cookie信息也能得到较好的保护，达到减轻损失的目的；

d、递归净化敏感词汇，在变量中构造脚本代码，输入中带入了<scr<script>ipt></scr<script>ipt>，只有通过递归查找script才能发现此类攻击。

4.按权利要求2所述的基于XSS和CSRF的Web攻击防御方法，其特征在于步骤②：

a、针对HTML语句输入，采用HTML解析库遍历节点；

b、标签在白名单模块（220）中的语句，不做任何处理；

c、标签不在白名单模块（220）中的语句，通过白名单模块（220）重新构

建HTML语句。

5.按权利要求2所述的基于XSS和CSRF的Web攻击防御方法，其特征在于

步骤③：

a、用户登录Web服务器，经过令牌拦截模块（230）获取的HTTP请求数据；

b、对响应页面脚本标签插入，并转给用户浏览器，当页面到达浏览器后，令牌拦截模块（230）采用跨浏览器的JavaScript库jQuery进行Token插入操作；

c、用户提交表单时的页面信息将会与Token值保持一致，并且在提交之前，令牌拦截模块（230）会对HTTP请求进行拦截查看，如果Token值不存在，或者页面信息与Token不一致，令牌拦截模块（230）将拒绝该访问的请求。