xss攻击防御方法及相关设备
技术领域
1.本技术涉及网络安全技术领域,尤其涉及一种xss攻击防御方法及相关设备。
背景技术:
2.跨站脚本(cross-site scripting,xss)攻击是一种网站应用的安全漏洞攻击,是代码注入的一种。xss攻击通常指的是恶意用户利用网页开发时留下的漏洞,注入恶意指令代码到网页,使用户在观看网页时加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
3.现有的xss攻击防御方法是将内容安全策略(content-security-policy,csp)分散配置在各个网页服务器(即服务端),所有的配置由网页服务器进行,用户终端上的应用只能被动接收网页服务器返回的csp,根据网页服务器返回的csp进行xss攻击防御。由于每个网页服务器只负责对应网站(通常为一个网站)/网页的csp配置,而用户终端上的应用通常会访问不同网页服务器提供的网站/网页,因此,一旦访问的网站/网页出现xss漏洞且该网站/网页对应的网页服务器没有配置或者没有合理配置csp,用户终端上的应用就会受到攻击,风险不可控。
技术实现要素:
4.本技术实施例公开了一种xss攻击防御方法及相关设备,能够提高xss攻击防御的可靠性,避免用户受到xss攻击。
5.本技术第一方面公开了一种xss攻击防御方法,应用于电子设备,所述方法包括:
6.获取多个网站用于xss攻击防御的端侧xss安全策略;
7.将获取的端侧xss安全策略配置在所述电子设备中;
8.向网页服务器发送网页的访问请求;
9.接收所述网页服务器返回的网页数据;
10.若请求的网页的url在所述电子设备配置的端侧xss安全策略中,根据所述请求的网页的url对应的端侧xss安全策略和所述网页数据对所述网页进行渲染。
11.其中,配置到电子设备中的xss安全策略对应于多个网站,例如电子设备允许访问的所有网站。通过将多个网站的端侧xss安全策略配置到电子设备,根据电子设备中配置的端侧xss安全策略进行网页渲染,即使网页服务器没有对网页进行xss安全配置或者没有进行合理的xss安全配置,电子设备也能根据其中配置的端侧xss安全策略进行xss攻击防御,网页中的xss漏洞将无法造成实际的攻击影响。因此,本技术能够提高xss攻击防御的可靠性,避免用户受到xss攻击。
12.在一些可选的实施方式中,所述获取多个网站用于xss攻击防御的端侧xss安全策略包括:
13.从策略服务器获取xss安全规则;
14.将所述xss安全规则解析成所述端侧xss安全策略。
15.其中,每个url对应一个xss安全规则,通过将xss安全规则从策略服务器传送给电子设备中的应用,可以减少策略服务器和电子设备之间的数据传输。
16.在一些可选的实施方式中,所述xss安全规则的数据格式为:
17.《rule》::=《url》
″
:
″
《policy》
″
;
″
[《policy》
″
;
″
]
[0018]
其中,rule表示xss安全规则,policy表示端侧xss安全策略,policy的数据格式为:
[0019]
《policy》::=
″
csp
″
《content-security-policy》|
″
osp
″
《other》
[0020]
其中,
″
csp
″
表示内容安全策略,
″
osp
″
表示其他安全策略。
[0021]
其中,端侧xss安全策略包括内容安全策略和其他安全策略,其他安全策略可以根据实际需要进行设定,从而提高端侧xss安全策略的可扩展性。
[0022]
在一些可选的实施方式中,所述内容安全策略由一个或多个policy-directive构成,每个policy-directive指定一个内容访问的白名单:
[0023][0024]
其中,content-security-policy表示内容安全策略,policy-directive包括directive和value两部分,directive指示采用内容访问策略的数据位置,value表示具体的白名单,由url构成。
[0025]
在一些可选的实施方式中,所述根据所述请求的网页的url对应的端侧xss安全策略和所述网页数据对所述网页进行渲染包括:
[0026]
判断所述网页是否包含外部资源,若所述网页包含外部资源,则不加载该外部资源;和/或
[0027]
判断所述网页的表单是否提交到所述网页对应的域名,若所述网页的表单不是提交到所述网页对应的域名,则不提交该表单;和/或
[0028]
判断所述网页中base标签的url对应的域名与所述网页对应的域名是否相同,若所述网页中base标签的url对应的域名与所述网页对应的域名不同,则不加载所述网页上的链接。
[0029]
在一些可选的实施方式中,所述方法还包括:
[0030]
若所述网页包含外部资源,或者若所述网页的表单不是提交到所述网页对应的域名,或者若所述网页中base标签的url对应的域名与所述网页对应的域名不同,则显示第一提示界面,在所述第一提示界面提示所述网页存在xss漏洞。
[0031]
在一些可选的实施方式中,所述电子设备包括webview组件,所述电子设备通过所述webview组件实现所述xss攻击防御方法。
[0032]
在一些可选的实施方式中,所述方法还包括:
[0033]
统计所述电子设备访问的各个网站对应的xss漏洞次数;
[0034]
显示第二提示界面,在所述第二提示界面提示高xss漏洞次数的网站。
[0035]
在一些可选的实施方式中,所述电子设备在接收所述网页服务器返回的网页数据
的同时,还接收所述网页服务器返回的服务端内容安全策略,所述方法还包括:
[0036]
若请求的网页的url不在所述端侧xss安全策略中,则根据所述服务端内容安全策略和所述网页数据对所述网页进行渲染。
[0037]
通过在网页服务器和电子设备分别配置安全策略可以进一步提高xss攻击防御的可靠性。电子设备优先使用端侧配置的安全策略进行xss攻击防御,如果电子设备没有配置相应的安全策略,则根据网页服务器配置的安全策略来防御xss攻击。
[0038]
本技术第二方面公开了一种计算机可读存储介质,包括计算机指令,当所述计算机指令在电子设备上运行时,使得所述电子设备执行如第一方面所述的xss攻击防御方法。
[0039]
本技术第三方面公开了一种电子设备,所述电子设备包括处理器和存储器,所述存储器,用于存储指令,所述处理器用于调用所述存储器中的指令,使得所述电子设备执行如第一方面所述的xss攻击防御方法。
[0040]
本技术第四方面公开了一种计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行如第一方面所述的xss攻击防御方法。
[0041]
本技术第五方面公开了一种芯片系统,该芯片系统应用于电子设备;芯片系统包括接口电路和处理器;接口电路和处理器通过线路互联;接口电路用于从电子设备的存储器接收信号,并向处理器发送信号,信号包括存储器中存储的计算机指令;当处理器执行该计算机指令时,芯片系统执行如第一方面所述的xss攻击防御方法。
[0042]
本技术第六方面公开了一种装置,该装置具有实现上述第一方面所提供的方法中电子设备行为的功能。功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。
[0043]
应当理解地,上述提供的第二方面所述的计算机可读存储介质,第三方面所述的电子设备,第四方面所述的计算机程序产品,第五方面所述的芯片系统及第六方面所述的装置均与上述第一方面的方法对应,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
附图说明
[0044]
图1是本技术实施例公开的xss攻击防御方法的应用环境示意图。
[0045]
图2是在使用webview组件的android应用中实现本技术xss攻击防御方法的流程图。
[0046]
图3是在电子设备中实现本技术xss攻击防御方法的流程图。
[0047]
图4是本技术实施例公开的电子设备的结构示意图。
具体实施方式
[0048]
为了便于理解,下面示例性地给出了部分与本技术实施例相关概念的说明以供参考。
[0049]
跨站脚本(cross-site scripting,xss)攻击:是一种网站应用的安全漏洞攻击,是代码注入的一种。xss攻击通常指的是恶意用户利用网页开发时留下的漏洞(即xss漏洞),注入恶意指令代码到网页,使用户在观看网页时加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和
cookie等各种内容。
[0050]
内容安全策略(content-security-policy,csp):通过指定有效域来减少或消除xss攻击所依赖的载体。
[0051]
webview组件:是一种由chrome提供支持的安卓(android)系统组件,主要用于为android应用提供网页展示能力和网页交互能力。
[0052]
为了更好地理解本技术实施例公开的xss攻击防御方法及相关设备,下面首先对本技术xss攻击防御方法的应用环境进行描述。
[0053]
图1是本技术实施例公开的xss攻击防御方法的应用环境示意图。如图1所示,电子设备10包括至少一个应用100,例如微信、百度、新浪新闻等。电子设备10与至少一个网页服务器11通信连接。每个网页服务器11对应至少一个网站。用户通过应用100访问网页服务器11对应网站的各个网页。电子设备10还与策略服务器12通信连接。策略服务器12提供多个网站用于xss攻击防御的安全策略信息。多个网站对应不同的网页服务器11。电子设备10根据策略服务器12提供的多个网站的安全策略信息在电子设备10中为应用100配置端侧xss安全策略,根据电子设备10中配置的端侧xss安全策略显示来自于网页服务器11的网页,以避免用户在通过应用100访问网页时受到xss攻击。
[0054]
在一具体实施例中,预先指定应用100允许访问的所有网站,将应用100允许访问的所有网站的安全策略信息存储在策略服务器,根据策略服务器存储的安全策略信息在电子设备10中配置应用100允许访问的所有网站对应的端侧xss安全策略,从而实现对应用100允许访问的所有网站的xss攻击防御。
[0055]
其中,电子设备10可以包括智能手机、平板电脑、台式计算机、膝上型便携计算机、车载电脑等。
[0056]
通常的使用场景是:用户在使用应用100的过程中,点击应用100的界面上的网页链接,检测到该点击操作后,应用100向网页服务器11发送网页的访问请求,网页服务器11向应用100返回网页数据,应用100根据电子设备10中配置的端侧xss安全策略以及接收的网页数据判断请求的网页是否包含xss漏洞,如果请求的网页包含xss漏洞,则不渲染所述xss漏洞对应的内容,用户从电子设备10的屏幕上浏览显示的网页。
[0057]
例如,用户在手机上使用微信时,点击微信上的一个网页链接,微信向该网页链接对应的网页服务器发送网页访问请求,该网页链接对应的网页服务器向微信返回网页数据,微信根据手机中配置的端侧xss安全策略以及接收的网页数据判断请求的网页是否包含xss漏洞,如果请求的网页包含xss漏洞,则不渲染所述xss漏洞对应的内容,从而实现了xss攻击防御。
[0058]
在一具体实施例中,电子设备10为android设备,电子设备10(即android应用)可以通过webview组件实现所述xss攻击防御方法。webview组件1001是一种网络资源访问组件,用于对网络资源进行访问。webview组件1001包括策略管理器10011和渲染器10012。策略管理器10011负责端侧xss安全策略的管理和分发。渲染器10012用于对网页进行渲染。
[0059]
为了防止恶意远程代码对本地资源和隐私数据进行篡改或者滥用,webview组件会使用访问控制策略约束远程代码的行为。xss攻击可以无视现有的webview组件访问控制技术,直接在可信网页上执行攻击者的代码,从而恶意操作本地资源。因此,xss问题在webview组件上的风险极高。
[0060]
图2是在使用webview组件的android应用中实现本技术xss攻击防御方法的流程图。下面通过图2阐述在使用webview组件的android应用中如何实现本技术xss攻击防御方法。
[0061]
参阅图2所示,所述xss攻击防御方法包括如下步骤:
[0062]
201,策略服务器将多个网站用于xss攻击防御的xss安全规则(rule)传送给应用(本实施例中即android应用),多个网站对应不同的网页服务器。
[0063]
在一实施例中,策略服务器在将xss安全规则传送给应用之前,可以对xss安全规则进行加密,以提高数据传输的安全性。
[0064]
在一实施例中,策略服务器可以具有推送功能,策略服务器将xss安全规则推送给应用。
[0065]
策略服务器可以在应用启动时将xss安全规则推送给应用。例如,每次微信启动时,策略服务器向微信推送xss安全规则。
[0066]
或者,策略服务器可以周期性地将xss安全规则推送给应用。例如,策略服务器每8小时一次向微信推送xss安全规则。
[0067]
在其他的实施例中,应用可以主动获取xss安全规则。例如,应用定期从策略服务器获取xss安全规则。
[0068]
每个统一资源定位符(uniform resource locator,url)对应一个xss安全规则。
[0069]
每个xss安全规则包括一个url和至少一个端侧xss安全策略(policy),表示该url对应至少一个端侧xss安全策略,xss安全规则可以表示为:
[0070]
《rule》::=《url》
″
:
″
《policy》
″
;
″
[《policy》
″
;
″
]
[0071]
url包括传输协议(protocol)、域名(hostname)、端口号(port)、资源路径(path)。
[0072]
url可以表示为:
[0073][0074]
protocol可以是
″
http://
″
、
″
https://
″
或者为空(即)。hostname为域名,支持通配符“*”;port为端口信息,可以为空。path表示精确的资源路径,支持配符“*”,也可以为空。
[0075]
在一实施例中,端侧xss安全策略可以包括内容安全策略(content-security-policy,csp)和其他安全策略(other-security-policy,osp)。
[0076]
内容安全策略通过指定有效域来减少或消除xss攻击所依赖的载体。
[0077]
其他安全策略是内容安全策略以外的安全策略,可以根据实际需要定义其他安全策略,从而提高端侧xss安全策略的可扩展性。
[0078]
端侧xss安全策略可以表示为:
[0079]
《policy》::=
″
csp
″
《content-security-policy》|
″
osp
″
《other》
[0080]
上述端侧xss安全策略的表达式中,使用字符串“csp”、“osp”加空格的形式(即
″
csp
″
、
″
osp
″
)标识该端侧xss安全策略是内容安全策略还是其他安全策略,
″
csp
″
表示内容安全策略,
″
osp
″
表示其他安全策略。
[0081]
应当理解,可以使用其他方式(例如用汉字“内容安全策略”和“其他安全策略”)表示该端侧xss安全策略是内容安全策略还是其他安全策略。
[0082]
在一实施例中,内容安全策略由一个或多个policy-directive构成,每个policy-directive指定一个内容访问的白名单:
[0083][0084]
policy-directive包括directive和value两部分,其中directive指示采用内容访问策略的数据位置,value表示具体的白名单,由url构成,支持通配符“*”。
[0085]
举例来说,一个xss安全规则为:
[0086]
*.trustserver.com/*:csp default-src'self';csp form-action'self';csp base-uri'self';
[0087]
其中,*.trustserver.com/*为url,default-src'self'、form-action'self'、base-uri'self'为内容安全策略。该xss安全规则表示trustserver.com域名下所有的网页对应三条内容安全策略,即default-src'self'、form-action'self'、base-uri'self'。
[0088]
default-src'self'表示网页所有的资源只能从网页对应的域名('self'表示网页对应的域名)加载,即网页的数据来源只能是trustserver.com。
[0089]
form-action'self'表示网页的表单只能提交到网页对应的域名,即trustserver.com。
[0090]
base-uri表示网页中base标签的url只能是网页对应的域名,即trustserver.com。
[0091]
由于每个url对应一个xss安全规则,采用xss安全规则作为安全策略信息,将xss安全规则从策略服务器传送给电子设备中的应用,可以减少策略服务器和电子设备之间的数据传输。
[0092]
202,应用将多个网站的xss安全规则传送给策略管理器。
[0093]
例如,应用将xss安全规则“*.trustserver.com/*:csp default-src'self';csp form-action'self';csp base-uri'self';”传送给策略管理器。
[0094]
203,策略管理器将xss安全规则解析成和url对应的端侧xss安全策略,将端侧xss安全策略配置在电子设备中。
[0095]
策略管理器将每个xss安全规则拆解为一个或者多个端侧xss安全策略,每个端侧xss安全策略对应一个url。
[0096]
举例来说,策略管理器对xss安全规则“*.trustserver.com/*:csp default-src'self';csp form-action'self';csp base-uri'self';”进行解析,得到*.trustserver.com/*对应的端侧xss安全策略:
[0097]
*.trustserver.com/*:default-src'self';
[0098]
*.trustserver.com/*:form-action'self';
[0099]
*.trustserver.com/*:base-uri'self';
[0100]
204,应用向网页服务器发送网页的访问请求。
[0101]
例如,在用户点击微信的一个网页链接后,微信向该网页链接对应的网页服务器发送网页的访问请求。
[0102]
应用可以向网页服务器发送请求包,所述请求包包括所述网页的访问请求。
[0103]
205,网页服务器向应用返回网页数据。
[0104]
例如,网页服务器向微信返回网页数据。
[0105]
所述网页数据包括多个页面成员,所述多个页面成员组成完整的页面。所述页面成员可以包括框架(child-src)、http连接(connect-src)、图像(img-src)、外部脚本(script-src)等。
[0106]
网页服务器可以向应用返回响应包,所述响应包包括所述网页数据。
[0107]
206,应用将请求的网页的url传送给渲染器。
[0108]
例如,应用将http://trustserver.com/page传送给渲染器。
[0109]
207,渲染器将请求的网页的url传送给策略管理器。
[0110]
例如,渲染器将http://trustserver.com/page传送给策略管理器。
[0111]
208,策略管理器查询请求的网页的url是否在电子设备配置的端侧xss安全策略中,若请求的网页的url在电子设备配置的端侧xss安全策略中,则策略管理器将请求的网页的url对应的端侧xss安全策略返回渲染器。
[0112]
策略管理器可以将请求的网页的url与电子设备配置的端侧xss安全策略中的url进行比较,判断请求的网页的url是否存在于电子设备配置的端侧xss安全策略的url中,若请求的网页的url存在于电子设备配置的端侧xss安全策略的url中,则从电子设备配置的端侧xss安全策略中获取请求的网页的url对应的端侧xss安全策略。
[0113]
例如,策略管理器对http://trustserver.com/page查询到以下端侧xss安全策略:
[0114]
*.trustserver.com/*:default-src'self';
[0115]
*.trustserver.com/*:form-action'self';
[0116]
*.trustserver.com/*:base-uri'self';
[0117]
209,渲染器根据请求的网页的url对应的端侧xss安全策略和网页数据对网页进行渲染。
[0118]
渲染器对网页进行渲染后,电子设备的屏幕上即显示网页页面。
[0119]
例如,请求的网页的url对应的端侧xss安全策略为:
[0120]
*.trustserver.com/*:default-src'self';
[0121]
*.trustserver.com/*:form-action'self';
[0122]
*.trustserver.com/*:base-uri'self';
[0123]
根据“*.trustserver.com/*:default-src'self';”,渲染器判断网页是否包含外部资源,如果网页包含外部资源,则不加载该外部资源。
[0124]
如果网页的资源不是来自于网页对应的域名(例如trustserver.com),则该资源是外部资源。外部资源包括外部脚本。
[0125]
根据“*.trustserver.com/*:form-action'self';”,渲染器判断网页的表单是否提交到网页对应的域名,如果表单不是提交到网页对应的域名,则不提交该表单。
[0126]
根据“*.trustserver.com/*:base-uri'self';”,渲染器判断网页中base标签的url是否是网页对应的域名,如果网页中base标签的url不是网页对应的域名,则不加载网页上的链接。
[0127]
base标签用于为网页上的所有链接规定默认地址或默认目标。
[0128]
根据请求的网页的url对应的端侧xss安全策略,渲染器可以阻止网页产生实际的xss攻击。例如,若网页中的外部脚本不是从网页对应的域名加载,则渲染器不加载该外部脚本,避免了电子设备加载并执行恶意脚本。
[0129]
在一实施例中,若所述网页包含外部资源,或者若所述网页的表单不是提交到所述网页对应的域名,或者若所述网页中base标签的url对应的域名与所述网页对应的域名不同,则显示第一提示界面,在所述第一提示界面提示所述网页存在xss漏洞。
[0130]
根据现有的xss攻击防御方法,电子设备的防御行为完全依赖网页服务器(即服务端)。如果网页服务器对网页并没有配置csp,则电子设备不会对网页采用任何安全策略,渲染到漏洞代码部分,攻击者的恶意攻击脚本将会被执行。例如,应用加载存在xss的网页http://trustserver.com/page,应用首先向http://trustserver.com/page请求网页数据,获得响应包。应用读取响应包中的csp字段,应用到网页中,但是该网页并没有配置csp,因此应用不会应用任何安全策略。渲染到漏洞代码部分,攻击者的恶意攻击脚本将会被执行。
[0131]
相比较,图2所描述的xss攻击防御方法提供了一套安全策略的端侧配置方案,安全策略配置在电子设备中,即使网页服务器由于某种原因遗漏了某个网页,电子设备也会有对应安全策略应用,xss漏洞将无法造成实际的攻击影响。例如,应用加载存在xss的网页http://trustserver.com/page,应用首先向http://trustserver.com/page请求网页数据,应用查询本地中是否有与该url匹配的端侧xss安全策略,这里可以查询到三条记录。应用将记录中的端侧xss安全策略应用到网页中。这样一来,即使网页服务器没有配置有效的安全策略,网页在渲染时也会有对应的保护。
[0132]
此外,本方法在电子设备上配置的端侧xss安全策略与url相对应,针对一个url的安全策略仅对该url有效,不会影响其他url的渲染。
[0133]
在另一实施例中,网页服务器在向应用返回网页数据的同时,还向应用返回服务端内容安全策略,若请求的网页的url不在所述端侧xss安全策略中,则应用根据所述服务端内容安全策略和所述网页数据对所述网页进行渲染。
[0134]
服务端内容安全策略就是网页服务器上配置的内容安全策略。
[0135]
例如,网页服务器返回的响应包还包括csp字段,所述csp字段包括所述服务端内容安全策略。
[0136]
通过在网页服务器和电子设备分别配置安全策略可以进一步提高xss攻击防御的可靠性。电子设备优先使用端侧配置的安全策略进行xss攻击防御,如果电子设备没有配置相应的安全策略,则根据网页服务器配置的安全策略来防御xss攻击。
[0137]
在另一实施例中,所述方法还包括:
[0138]
统计电子设备访问的各个网站对应的xss漏洞次数;
[0139]
显示第二提示界面,在所述第二提示界面提示高xss漏洞次数的网站。
[0140]
上述实施例采用xss安全规则作为安全策略信息,策略服务器将xss安全规则传送给电子设备中的应用(参见201)。应当理解,在其他的实施例中,策略服务器可以将其他形式的安全策略信息传送给电子设备中的应用。
[0141]
例如,策略服务器中直接存储端侧xss安全策略,每个url对应至少一个端侧xss安全策略,策略服务器将各个url对应的端侧xss安全策略传送给电子设备中的应用。
[0142]
例如,*.trustserver.com/*对应的端侧xss安全策略为:
[0143]
*.trustserver.com/*:default-src'self';
[0144]
*.trustserver.com/*:form-action'self';
[0145]
*.trustserver.com/*:base-uri'self';
[0146]
策略服务器将*.trustserver.com/*对应的端侧xss安全策略传送给电子设备中的应用。
[0147]
若策略服务器将端侧xss安全策略传送给电子设备中的应用,则策略管理器无需对xss安全规则进行解析,只需将各个url和端侧xss安全策略对应的端侧xss安全策略配置在电子设备中。
[0148]
上述实施例以从策略服务器获取端侧xss安全策略为例进行说明。应当理解,在其他的实施例中,电子设备可以从任意能够存储多个网站的端侧xss安全策略的位置获取端侧xss安全策略。例如,预先将多个网站的端侧xss安全策略存储在云端,电子设备从云端获取端侧xss安全策略。
[0149]
上述实施例以使用webview组件的android应用为例说明如何本技术xss攻击防御方法。应当理解,在其他的实施例中,电子设备可以是其他系统的设备,例如ios设备,所述xss攻击防御方法可以通过应用中的网络资源访问组件实现所述xss攻击防御方法。
[0150]
图3是在电子设备中实现本技术xss攻击防御方法的流程图。下面通过图3阐述如何在电子设备中实现本技术xss攻击防御方法,图3中的步骤均由电子设备的应用执行。
[0151]
301,获取多个网站用于xss攻击防御的端侧xss安全策略。
[0152]
在一实施例中,所述获取多个网站用于xss攻击防御的端侧xss安全策略包括:
[0153]
从策略服务器获取xss安全规则;
[0154]
将所述xss安全规则解析成所述端侧xss安全策略。
[0155]
在另一实施例中,从策略服务器直接获取端侧xss安全策略。每个url对应至少一个端侧xss安全策略。
[0156]
302,将获取的端侧xss安全策略配置在电子设备中。
[0157]
303,向网页服务器发送网页的访问请求。
[0158]
304,接收网页服务器返回的网页数据。
[0159]
305,查询请求的网页的url是否在电子设备配置的端侧xss安全策略中。
[0160]
306,若请求的网页的url在电子设备配置的端侧xss安全策略中,根据所述请求的网页的url对应的端侧xss安全策略和所述网页数据对所述网页进行渲染。
[0161]
以上所述,仅是本技术的具体实施方式,但本技术的保护范围并不局限于此,对于本领域的普通技术人员来说,在不脱离本技术创造构思的前提下,还可以做出改进,但这些均属于本技术的保护范围。
[0162]
图4是本技术公开的电子设备的结构示意图。如图4所示,所述电子设备40包括一个或多个处理器401和存储器402。处理器401、存储器402通过一个或多个通信总线403连接。存储器402用于存储一个或多个计算机程序404。一个或多个计算机程序404被配置为被该处理器401执行。该一个或多个计算机程序404包括指令,上述指令可以用于执行上述实施例中电子设备(如手机)执行的各个步骤,以实现在电子设备中的xss攻击防御功能。
[0163]
本实施例还提供一种计算机存储介质,该计算机存储介质中存储有计算机指令,当该计算机指令在电子设备上运行时,使得电子设备执行上述相关方法步骤实现上述实施例中的xss攻击防御方法。
[0164]
本实施例还提供了一种计算机程序产品,当该计算机程序产品在电子设备上运行时,使得电子设备执行上述相关步骤,以实现上述实施例中的xss攻击防御方法。
[0165]
另外,本技术的实施例还提供一种装置,这个装置具体可以是芯片,组件或模块,该装置可包括相连的处理器和存储器;其中,存储器用于存储计算机执行指令,当装置运行时,处理器可执行存储器存储的计算机执行指令,以使芯片执行上述各方法实施例中的xss攻击防御方法。
[0166]
其中,本实施例提供的电子设备、计算机存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
[0167]
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
[0168]
在本技术所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,该模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0169]
该作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0170]
另外,在本技术各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0171]
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本技术各个实施例所述方法的全部或部分步骤。而
前述的存储介质包括:u盘、移动硬盘、只读存储器(read-only memory,rom)、随机存取存储器(random access memory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0172]
以上所述,仅为本技术的具体实施方式,但本技术的保护范围并不局限于此,任何在本技术揭露的技术范围内的变化或替换,都应涵盖在本技术的保护范围之内。因此,本技术的保护范围应以所述权利要求的保护范围为准。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
