[发明专利]一种基于代理的Web跨站安全处理方法

权利要求书

1.一种基于代理的Web跨站安全的处理方法，其特征是，基于如下系统架构，包含节点标记模块、输出流代理模块、日志分析报告模块；

所述节点标记模块，是指在程序发布之前的编译期间，将应用中的模板文件解析，将所有漏洞节点添加标记；标记的方式为在节点上添加自定义属性，自定义属性的值为系统架构生成的请求参数名称；

所述输出流代理模块，分为两部分，第一、将节点模块中的请求参数名称，替换为当前请求系统架构自动生成的随机码，第二、指在响应数据发送至浏览器之前，拦截并代理响应数据，通过将响应数据解析成HTML文档，找出所有可能产生漏洞的节点，一旦出现未标记的漏洞节点，则转义此节点，以文本形式返回至客户端；

所述日志分析报告模块，是指代理者在拦截到攻击代码时，发送攻击代码至日志服务器，该模块通过分析攻击代码，汇总发送预警邮件通知关系人处理；

具体步骤如下：

步骤1：服务器编译页面模板之前，先检查页面模板的漏洞节点，若页面模板中存在漏洞节点，则编译时，为此漏洞节点添加自定义属性；自定义属性的值为自定义的请求参数的名称；

步骤2：用户发起请求至服务器后，服务器生成加密串，在将请求参数渲染至页面时，将步骤1添加自定义属性的值渲染为加密串；

步骤3：服务器返回数据给用户时，拦截输出流至本地内存，并解析成HTML文档；

步骤3.1若此HTML文档中的漏洞节点不包含当前加密串，则将此节点转义；

步骤3.2若HTML文档中包含漏洞节点，则为此节点额外添加隐藏域的标记，标为Token；

步骤3.3 重新组装HTML文档，发送至浏览器；

步骤4：记录日志，清理漏洞节点的自定义属性；

所述的漏洞节点，是指所有有可能产生跨站脚本攻击漏洞的节点或者语法；

SCRIPT标签为最常见的标签；所述的加密串，是当前线程内有效的加密串，线程结束，则加密串失效，防止用户模拟加密串来实现攻击；

所述的Token，是指判断请求唯一性的一个随机码，一旦请求通过，则此标为Token的标记失效。

2.根据权利要求1所述的基于代理的Web跨站安全的处理方法，其特征是，具体步骤分期：

系统编译期：通过配置文件，指定系统视图层模板位置，编译时，系统循环遍历此位置的所有文件，解析出漏洞节点，并为此节点添加自定义的属性，属性值为自定义请求参数的名称；

请求进入期：拦截请求对象，生成随机码，将此随机码存入当前线程，同时存入此请求对象中，待系统解析视图时，用此随机码替换编译期产生的漏洞节点添加自定义属性，自定义属性的值为自定义的请求参数的名称；

响应拦截代理期：拦截响应输出流，将此输出流解析成HTML文档格式，输出流代理输出至客户端；

恶意代码检测期：查询上述HTML文档中的标记，对未标记的漏洞节点，采取转义的方式输出，同时记录此节点信息；

后期分析期： 将上述记录的信息归纳总结，定期发送统计报告供关系人分析使用。