[发明专利]XSS攻击防御方法及相关设备

权利要求书

1.一种跨站脚本XSS攻击防御方法，应用于电子设备，其特征在于，所述方法包括：

获取多个网站用于XSS攻击防御的端侧XSS安全策略；

将获取的端侧XSS安全策略配置在所述电子设备中；

向网页服务器发送网页的访问请求；

接收所述网页服务器返回的网页数据；

若请求的网页的URL在所述电子设备配置的端侧XSS安全策略中，根据所述请求的网页的URL对应的端侧XSS安全策略和所述网页数据对所述网页进行渲染。

2.如权利要求1所述的XSS攻击防御方法，其特征在于，所述获取多个网站用于XSS攻击防御的端侧XSS安全策略包括：

从策略服务器获取XSS安全规则；

将所述XSS安全规则解析成所述端侧XSS安全策略。

3.如权利要求2所述的XSS攻击防御方法，其特征在于，所述XSS安全规则的数据格式为：

rule::＝url″:″policy″；″[policy″；″]

其中，rule表示XSS安全规则，policy表示端侧XSS安全策略，policy的数据格式为：

policy::＝″CSP″Content-Security-Policy|″OSP″other

其中，″CSP″表示内容安全策略，″OSP″表示其他安全策略。

4.如权利要求3所述的XSS攻击防御方法，其特征在于，所述内容安全策略由一个或多个policy-directive构成，每个policy-directive指定一个内容访问的白名单：

其中，Content-Security-Policy表示内容安全策略，policy-directive包括directive和value两部分，directive指示采用内容访问策略的数据位置，value表示具体的白名单，由URL构成。

5.如权利要求1所述的XSS攻击防御方法，其特征在于，所述根据所述请求的网页的URL对应的端侧XSS安全策略和所述网页数据对所述网页进行渲染包括：

判断所述网页是否包含外部资源，若所述网页包含外部资源，则不加载该外部资源；和/或

判断所述网页的表单是否提交到所述网页对应的域名，若所述网页的表单不是提交到所述网页对应的域名，则不提交该表单；和/或

判断所述网页中base标签的URL对应的域名与所述网页对应的域名是否相同，若所述网页中base标签的URL对应的域名与所述网页对应的域名不同，则不加载所述网页上的链接。

6.如权利要求5所述的XSS攻击防御方法，其特征在于，所述方法还包括：

若所述网页包含外部资源，或者若所述网页的表单不是提交到所述网页对应的域名，或者若所述网页中base标签的URL对应的域名与所述网页对应的域名不同，则显示第一提示界面，在所述第一提示界面提示所述网页存在XSS漏洞。

7.如权利要求1所述的XSS攻击防御方法，其特征在于，所述电子设备包括Webview组件，所述电子设备通过所述Webview组件实现所述XSS攻击防御方法。

8.如权利要求1至7中任一项所述的XSS攻击防御方法，其特征在于，所述方法还包括：

统计所述电子设备访问的各个网站对应的XSS漏洞次数；

显示第二提示界面，在所述第二提示界面提示高XSS漏洞次数的网站。

9.如权利要求1至7中任一项所述的XSS攻击防御方法，其特征在于，所述电子设备在接收所述网页服务器返回的网页数据的同时，还接收所述网页服务器返回的服务端内容安全策略，所述方法还包括：

若请求的网页的URL不在所述端侧XSS安全策略中，则根据所述服务端内容安全策略和所述网页数据对所述网页进行渲染。