[发明专利]一种网页完整性的校验方法、装置、设备及可读介质

说明书

本发明公开了一种网页完整性的校验方法，包括在访问端执行以下步骤：向服务端发送访问网页请求，并接收服务端返回的响应消息；获取响应消息中服务端模拟解析访问网页生成的预计哈希值；通过解析访问网页以获取实际哈希值，并判断实际哈希值与预计哈希值是否一致；以及若是实际哈希值与预计哈希值一致，则认为访问网页完整，并加载访问网页。本发明还公开了一种网页完整性的校验装置、计算机设备和可读存储介质。本发明在服务端内置不同类型的浏览器以匹配访问端浏览器，通过模拟访问端请求获取完整页面内容的哈希值，通过哈希值对网页完整性进行校验，不需要第三方软件的参与即可检测静态页面是否被篡改，提升网站自身的安全性。

技术领域

本发明涉及网页安全技术领域，尤其涉及一种网页完整性的校验方法、装置、设备及可读介质。

背景技术

随着互联网的不断普及，用户通过网络获取各类信息变得十分普遍。与此同时，互联网上各类欺诈钓鱼网站也层出不穷，互联网安全形式不容乐观。

公网网站的访问一定会经过运营商的路由，一些运营商会以盈利为目的在网站的网页上挂载广告，常用技术为在页面插入script标签，利用其可跨域特性，加载弹窗广告等恶意内容，网页本身没有检测是否是原始内容的机制。

当前互联网上的恶意网站主要可分为两类：一类是“主动作恶”的网站，即：黑客主动创建以欺骗用户的恶意站点，另一类则是“被动作恶”的网站，即：受到黑客攻击导致网页的页面被篡改而沦为恶意站点的正常网站。搜索引擎为提高用户体验，对于前一类“主动作恶”的网站，可以直接将其从搜索结果中移除，而对于后一类“被动作恶”的网站，则一般只能附加一定的提示语警告用户谨慎访问。

这使得访问者接收到的页面可读性和可操作性非常差，网页本身无法识别是否被恶意修改。

发明内容

有鉴于此，本发明实施例的目的在于提出一种网页完整性的校验方法、装置、设备及可读介质，在服务端内置不同类型的浏览器以匹配访问端浏览器，通过模拟访问端请求获取完整页面内容的哈希值，通过哈希值对网页完整性进行校验，不需要第三方软件的参与即可检测静态页面是否被篡改，提升网站自身的安全性。

基于上述目的，本发明实施例的一方面提供了一种网页完整性的校验方法，包括在访问端执行以下步骤：向服务端发送访问网页请求，并接收所述服务端返回的响应消息；获取所述响应消息中所述服务端模拟解析所述访问网页生成的预计哈希值；通过解析所述访问网页以获取实际哈希值，并判断所述实际哈希值与所述预计哈希值是否一致；以及若是所述实际哈希值与所述预计哈希值一致，则认为所述访问网页完整，并加载所述访问网页。

在一些实施方式中，向服务端发送访问网页请求包括：向服务端发送包含所述访问端的浏览器信息和访问网页信息的访问网页请求。

在一些实施方式中，方法还包括在所述服务端执行以下步骤：响应于接收到所述访问端发送的访问网页请求，则获取所述访问网页请求中的浏览器信息和访问网页信息；基于所述浏览器信息和所述访问网页信息模拟解析所述访问网页，以生成预计哈希值；将所述预计哈希值添加到响应消息中，并将所述响应消息发送给所述访问端。

在一些实施方式中，基于所述浏览器信息和所述访问网页信息模拟解析所述访问网页，以生成预计哈希值包括：调用selenium框架，根据所述浏览器信息选择对应的模拟浏览器；通过所述模拟浏览器模拟所述访问端发送所述访问网页请求，并模拟加载所述访问网页以得到页面元素信息；基于哈希算法将所述页面元素信息转换成哈希值，以得到预计哈希值。

在一些实施方式中，将所述预计哈希值添加到响应消息中包括：将所述预计哈希值添加到响应消息的消息头中。

在一些实施方式中，方法还包括：若是所述实际哈希值与所述预计哈希值不一致，则认为所述访问网页被修改，并向用户发送告警。

在一些实施方式中，方法还包括：响应于获取所述响应消息中预计哈希值失败，则认为所述访问网页被修改，并向用户发送告警。