[发明专利]跨站脚本攻击的防御方法、装置、存储介质和服务器

说明书

本申请公开了一种跨站脚本攻击的防御方法、装置、存储介质和服务器，基于第一用户上传的富文本信息作为网页内容，并将富文本信息的唯一编号作为网址的文件名，生成子页面。基于用于加载子页面iframe标签作为网页内容，并将唯一编号作为网址的文件名，生成满足预设条件的父页面。在接收到第二用户通过浏览器发送的访问请求后，向浏览器发送父页面，使得浏览器执行父页面中的iframe标签，得到富文本信息，并通过预设界面向第二用户展示富文本信息。受限于浏览器的同源策略，保证子页面中的富文本信息不会影响到父页面，从而在确保用户上传的富文本信息均可正常展示给其他客户观看的情况下，有效防御XSS攻击，显著提高了用户体验。

技术领域

本申请涉及网络安全领域，尤其涉及一种跨站脚本攻击的防御方法、装置、存储介质和服务器。

背景技术

跨站脚本(Cross Site Script，CSS)攻击，又称之为XSS攻击，指的是恶意攻击者往Web页面(即网页)里插入恶意html代码，当用户浏览该网页之时，嵌入该网页的html代码会被执行，从而达到恶意用户的特殊目的。电商平台、论坛、博客等一些可允许用户录入页面排版、格式控制相关的html的场景，在这些场景中必须支持富文本的用户内容回显，例如电商平台上，卖家通过富文本来展示商品的详情信息，可能涉及页面美化排版、超链接、锚点之类的。在这种情况下，恶意卖家可通过富文本来实现对电商平台的XSS攻击。

目前，为了防止XSS攻击，主流做法有两种，白名单和黑名单，黑名单禁止危险标签和属性，但是不具有向前安全性，出现技术更新后需要及时添加新标签及属性黑名单。白名单只允许安全的标签及属性，但是影响用户体验，很多合法标签属性样式得不到支持，同时无论黑白名单都会过滤标签和属性，很多用户输入的标签被过滤或者篡改，导致得不到用户想要的展示效果，因此无法所见即所得。

为此，如何在确保用户上传的富文本可正常展示给其他客户观看的情况下，有效防御XSS攻击，成为本领域亟需解决的问题。

发明内容

本申请提供了一种跨站脚本攻击的防御方法、装置、存储介质和服务器，用于在确保用户上传的富文本均可正常展示给其他客户观看的情况下，有效防御XSS攻击，提高用户体验。

为了实现上述目的，本申请提供了以下技术方案：

一种跨站脚本攻击的防御方法，包括：

在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号；

基于所述富文本信息作为网页内容，并将所述唯一编号作为网址的文件名，生成子页面；

创建用于加载所述子页面的iframe标签；

基于所述iframe标签作为网页内容，并将所述唯一编号作为网址的文件名，生成满足预设条件的父页面；所述预设条件包括：所述父页面的域名与所述子页面的域名不同，和/或，所述父页面的端口与所述子页面的端口不同，和/或，所述父页面的协议与所述子页面的协议不同；

在接收到第二用户通过浏览器发送的访问请求后，对所述访问请求进行解析，得到访问地址；

在确定所述访问地址为所述父页面的网址的情况下，向所述浏览器发送所述父页面，使得所述浏览器执行所述父页面中的iframe标签，得到所述富文本信息，并通过预设界面向所述第二用户展示所述富文本信息。

可选的，所述对所述访问请求进行解析，得到访问地址之后，还包括：

在确定所述访问地址不为所述父页面的网址的情况下，向所述浏览器发送访问地址错误的提示。

可选的，所述在接收到第一用户上传的富文本信息后，生成所述富文本信息的唯一编号，包括：