[发明专利]富文本安全处理方法、装置、电子设备和存储介质

说明书

本发明提供一种富文本安全处理方法、装置、电子设备和存储介质，在客户端对第一富文本进行显示时，对第一富文本中存在的安全威胁进行处理，得到执行安全的执行富文本标签，通过执行富文本标签生成显示页面。通过执行富文本标签保证了客户端生成显示页面过程的安全性，即使第一富文本通过黑名单转义之后还存在攻击代码，通过转换后的执行富文本标签也能够保证显示页面生成过程的安全性，大大提高了对基于富文本进行攻击的防御可靠性，消除了客户端显示富文本过程中被攻击的风险。

技术领域

本发明涉及互联网技术领域，尤其涉及一种富文本安全处理方法、装置、电子设备和存储介质。

背景技术

富文本编辑器，Multi-function Text Editor,简称MTE,是一种可内嵌于浏览器，所见即所得的文本编辑器。Web网站有一些提供给用户输入的富文本编辑器，黑客可以利用富文本编辑器输入攻击性代码，进行XSS攻击(Cross Site Scripting跨站脚本攻击)。

当前针对XSS攻击主要是分别针对富文本标签(HTML标签)、标签属性、以及标签属性中的文本、URL等做黑名单转码，以移除和编码等措施来保证对XSS攻击的防御效果。这种对XSS攻击的防御方式需要考虑到所有攻击情况并分别进行防御，并且当新的攻击方式情况出现时，只有及时更新相应的防御方式才能避免XSS攻击。然而，新的防御方式永远比新的攻击方式慢一步，导致安全性不够可靠。

可见，现有技术对基于富文本进行攻击的防御方式不够可靠，使得客户端依然存在被攻击的风险。

发明内容

本发明提供一种富文本安全处理方法、装置、电子设备和存储介质，用以解决现有技术对基于富文本进行攻击的防御方式不够可靠，使得客户端依然存在被攻击的风险的缺陷，实现了大大提高了对基于富文本进行攻击的防御可靠性，消除了客户端显示富文本过程中被攻击的风险目的。

本发明提供一种富文本安全处理方法，应用于客户端，包括：

从服务器获取待显示的第一富文本；其中，所述第一富文本中包括至少一个第一富文本标签；

对所述第一富文本标签中存在的安全威胁进行处理，得到执行安全的执行富文本标签；

根据所述执行富文本标签生成显示页面。

根据本发明提供一种富文本安全处理方法，在上述基础上，所述对所述第一富文本标签中存在的安全威胁进行处理，得到执行安全的执行富文本标签，包括：

从所述第一富文本标签的标签属性中获取不存在安全威胁的标签属性，作为安全标签属性；

生成标签属性为所述安全标签属性的富文本标签，作为所述执行富文本标签。

根据本发明提供一种富文本安全处理方法，在上述基础上，所述从所述第一富文本标签的标签属性中获取不存在安全威胁的标签属性，作为安全标签属性，包括：

对于所述第一富文本标签中的任一标签属性，若所述任一标签属性为已知运行安全的标签属性，则将所述任一标签属性作为所述安全标签属性；

和/或，若所述任一标签属性中包括存在安全威胁的字符，则将对所述字符进行处理后得到的标签属性作为所述安全标签属性。

根据本发明提供一种富文本安全处理方法，在上述基础上，还包括：

获取待上传到服务器的第二富文本；其中，所述第二富文本中包括至少一个第二富文本标签；

对所述第二富文本标签中存在的安全威胁进行处理，得到传输安全的传输富文本标签；

根据所述传输富文本标签生成第三富文本，将所述第三富文本上传到所述服务器。