[发明专利]一种跨站脚本攻击的防御方法及其相关设备

说明书

本申请实施例公开了一种跨站脚本攻击的防御方法，包括：获取发送至目标网站的访问请求；提取所述访问请求所包括的程序语句；确定处于激活状态的跨站脚本攻击防御设置；依据所述处于激活状态的跨站脚本攻击防御设置对程序语句进行处理。从以上技术方案可以看出，本方案通过接收发送至目标网站的访问请求；提取所述访问请求所包括的程序语句；确定处于激活状态的跨站脚本攻击防御设置；依据所述处于激活状态的跨站脚本攻击防御设置对程序语句进行处理。通过上述方式，使得对目标网站的访问请求可依据自身需求设置处于激活状态的防御设置，进而使得访问请求可依据用户的设置采用不同的防御设置处理，提高了网站系统的安全性与灵活性。

技术领域

本申请属于计算机技术领域，尤其涉及一种跨站脚本攻击的防御方法及其相关设备。

背景技术

跨站脚本攻击(XSS,Cross Site Scripting)是一种利用Web网页漏洞的网络攻击方式。攻击终端采用在Web网页中输入包含恶意代码的信息的方式，向应用服务器中的应用程序发送包含恶意代码的访问请求，使得该应用程序在接收该访问请求之后生成一个包含恶意代码的Web网页，从而在Web网页中插入恶意代码。当用户终端打开该Web网页时，执行该Web网页中的恶意代码，该恶意代码往往用于实现从用户终端恶意盗取信息等网络攻击行为，从而攻击终端完成对用户终端的网络攻击。

在用户通过网站所发布的内容中存在着非法用户发布的XSS攻击脚本，系统需要及时的过滤掉这些脚本，避免被黑客恶意利用造成公司的损失，同时也避免影响用户查看内容时的体验。

然而对于不同的网站业务服务分别存在不同的使用条件，统一的跨站脚本攻击防御策略往往无法很好的满足各个网站业务服务的需求。

发明内容

本发明的目的在于提，旨在解决现有的问题，本申请提供的包括：

本申请实施例第一方面提供了一种跨站脚本攻击的防御方法，包括：

获取发送至目标网站的访问请求；

提取所述访问请求所包括的程序语句；

确定处于激活状态的跨站脚本攻击防御设置；

依据所述处于激活状态的跨站脚本攻击防御设置对程序语句进行处理。

基于本申请实施例第一方面提供的跨站脚本攻击的防御方法，可选的，所述确定处于激活状态的跨站脚本攻击防御设置，包括：

在基于正则的跨站脚本攻击防御设置和基于关键字的跨站脚本攻击防御设置中确定一种跨站脚本攻击防御设置为所述处于激活状态的跨站脚本攻击防御设置。

基于本申请实施例第一方面提供的跨站脚本攻击的防御方法，可选的，所述依据所述处于激活状态的跨站脚本攻击防御设置对程序语句进行处理，包括：

若所述处于激活状态的跨站脚本攻击防御设置为所述基于正则的跨站脚本攻击防御设置，则检测所述程序语句中是否存在符合正则表达式的第一目标字段；

若存在所述第一目标字段，则对所述第一目标字段进行替换处理，或，对所述第一目标字段进行转义处理；

若所述处于激活状态的跨站脚本攻击防御设置为所述基于关键字的跨站脚本攻击防御设置，则检测所述程序语句中是否存在符合关键字设置的第二目标字段；

若存在所述第二目标字段，则对所述第二目标字段进行替换处理，或，对所述第二目标字段进行转义处理。

基于本申请实施例第一方面提供的跨站脚本攻击的防御方法，可选的，所述跨站脚本攻击的防御方法通过插件完成，所述插件基于Spring Boot starter机制与所述目标网站关联。