[发明专利]跨站脚本过滤器有效
| 申请号: | 200880115316.8 | 申请日: | 2008-10-15 |
| 公开(公告)号: | CN101849238B | 公开(公告)日: | 2017-04-19 |
| 发明(设计)人: | D·A·罗斯;S·B·利普内 | 申请(专利权)人: | 微软技术许可有限责任公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/56;H04L29/08;H04L29/06 |
| 代理公司: | 上海专利商标事务所有限公司31100 | 代理人: | 胡利鸣,潘明婳 |
| 地址: | 美国华*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 通过安装防止反射的XSS漏洞的客户端过滤器可以完全地在客户端上实现的反射的跨站脚本(XSS)减轻技术。完全地在客户端上执行的XSS过滤允许Web浏览器抵御涉及可能没有充分的XSS减轻措施的服务器的XSS。该技术使用精选的启发规则,并将URL和POST数据的可疑的部分与反射的页面内容进行匹配,来准确地标识XSS攻击。过滤器所使用的技术快速地标识被认为是安全的通信流并将其放行,使过滤器对性能的影响保持最低。可以快速地将非HTML MIME类型以及同一站点的请求放行。对于剩余的请求,不在完全的HTTP响应上运行正则表达式,除非XSS启发规则在HTTP请求URL或POST数据中被匹配。 | ||
| 搜索关键词: | 脚本 过滤器 | ||
【主权项】:
一种用于处理跨站脚本(XSS)攻击的计算机实现的系统(100),包括:用于处理客户端和服务器之间的通信流的通信组件(102);以及用于通过将请求通信流的可疑的部分与反射的网页内容进行匹配以判断响应通信流中是否存在XSS攻击来从所述通信流中过滤反射的XSS攻击的过滤器组件(108);其中所述过滤器组件针对所述请求通信流来处理启发规则以生成一个或多个签名,并进一步其中所述过滤器组件针对所述响应通信流处理所述签名以过滤所述XSS攻击。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于微软技术许可有限责任公司,未经微软技术许可有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200880115316.8/,转载请声明来源钻瓜专利网。
