防范跨站脚本攻击xss安全服务的制作方法
【专利摘要】本发明涉及防范跨站脚本攻击XSS安全服务,当用户浏览器访问网页时,WEB服务器会返回网页数据,网页数据返回给用户前先检测HTTP数据头里SET-COOKIE的信息,判断是否为Session或规则定义需保护的COOKIE,如果“是”,在SET-COOKIE信息中加入“HttpOnly”标识,再返回给浏览器;如果“否”,直接返回到用户浏览器。现有技术默认不会把Session加入HttpOnly的安全标记,容易被黑客攻击利用。本发明通过在SET-COOKIE信息中加入标识“HttpOnly”让黑客不容易从浏览器脚本中获得重要COOKIE信息,让原本不安全的网站变得安全。
【专利说明】防范跨站脚本攻击XSS安全服务
【技术领域】
[0001]本发明属于网络安全领域,具体涉及防范黑客跨站脚本攻击XSS安全服务,可应用于网站服务器、用户计算机、智能手机或平板电脑上,可大大降低黑客跨站脚本攻击XSS的危害。
【背景技术】
[0002]跨站脚本攻击XSS,是利用HTML特性的一种攻击行为,攻击成功后,可获取用户或管理员的网站登陆权限,跨站脚本攻击XSS大量应用挂马盗号来控制企业的数据,包括读取、篡改、添加、删除企业等敏感数据,盗窃商业情报,控制受害者的机器向其它网站发起攻击,危害性较大。现有技术Session是以COOKIE形式存在的,默认信息不会把Session加入HttpOnly的安全标记,特别是ASP脚本没有加HttpOnly安全标识的功能,因此容易被黑客攻击利用。
【发明内容】
[0003]本发明的目的是提供防范跨站脚本攻击XSS安全服务。
[0004]所述的防范跨站脚本攻击XSS安全服务,原理如下:当用户浏览器访问网页时,WEB服务器会返回网页数据,网页数据返回给用户前先检测HTTP数据头里SET-C00KIE的信息,判断是否为Session或规则定义需保护的C00KIE,如果“是”,在SET-C00KIE信息中加入“HttpOnly”标识,再返回给浏览器;如果“否”,直接返回到用户浏览器。
[0005]所述的防范跨站脚本攻击XSS安全服务,在原脚本没有对C00KIE进行保护的情况下人工加入标识“HttpOnly”后,让黑客不容易从浏览器脚本中获得重要C00KIE信息,让原本不安全的网站变得安全。
【专利附图】
【附图说明】:
图1是本发明所述的C00KIE安全机制流程图。
[0006]【具体实施方式】:
下面结合附图及具体实施例对本发明再作进一步详细的说明。
[0007]本发明不但适用于WEB服务器和用户计算机,还适用于第三方有“COOKIE处理逻辑”功能的服务,如CDN、代理、中转等,还适用于各种数据处理设备,如智能手机与平板电脑
坐寸o
[0008]常见可应用于如下方面:
1.WEB服务器上的应用
“COOKIE处理逻辑”在服务器上可以是一个防火墙或一个过滤器程序,如IIS的isapi或是扩展等,当用户访问WEB服务器的网站时,WEB服务器在返回网页数据前经“COOKIE处理逻辑”把需要处理的C00KIE加HttpOnly标识,再返回给用户,让用户电脑在没有任何相关保护的情况下也能达到防止重要C00KIE信息被黑客利用的目的。[0009]用户机器上的应用(也适用于智能手机与平板电脑)
在用户机器上加入“COOKIE处理逻辑”,让浏览器读取经过处理的COOKIE信息,让跨站脚本攻击XSS失效。此方法在用户机器上处理效果比服务器上更好,因为每个网站的Session都可以修改为HttpOnly状态,防范跨站脚本攻击XSS获取重要COOKIE信息的效果会更好。
[0010]中转、⑶N以及代理上的应用
“COOKIE处理逻辑”可以是一个中转或是⑶N,只要经过相关服务进行相关处理,也能达到防范跨站脚本攻击XSS读取重要C00KIE信息的目的。
[0011]下面以一个实例说明C00KIE处理过程:
用户访问网站时,WEB服务网页内容,会带有HTTP头信息,示例的HTTP如下:
HTTP/1.1 200 OK
Content-Type: text/html
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Server: Microsoft-1IS/6.0
X-Powered-By: PHP/5.2.5
SET-C00KIE: PHPSESSID=d5cl5b9268d0de4eb47b792f833e497d; path=/
SET-C00KIE: userC00KIEl=aaa`aaa; path=/
SET-C00KIE: userC00KIE2=bbbbbb; path=/
Connection: close
SET-C00KIE:标识是表示要向浏览器写入COOKIE信息,默认浏览器脚本是可以访问的。
[0012]为了安全,加入了 C00KIE处理逻辑,加入HttpOnly标识,变为:
SET-C00KIE: PHPSESSID=d5cl5b9268d0de4eb47b792f833e497d; path=/;HttpOnly
这时浏览器里的脚本语言已无法读取到PHPSESSID这个C00KIE信息了。
[0013]如禁止浏览器读取“SET-C00KIE: userC00KIE2=bbbbbb; path=/” 的 COOKIE 信息时,也是加入HttpOnly标识,修改为:
SET-C00KIE: userC00KIE2=bbbbbb; path=/;HttpOnly。
【权利要求】
1.防范跨站脚本攻击XSS安全服务,其特征是,当用户浏览器访问网页时,WEB服务器会返回网页数据,网页数据返回给用户前先检测HTTP数据头里SET-COOKIE的信息,判断是否为Session或规则定义需保护的COOKIE,如果“是”,在SET-C00KIE信息中加入“HttpOnly”标识,再返回给浏览器;如果“否”,直接返回到用户浏览器。
2.如权利要求1所述的防范跨站脚本攻击XSS安全服务,其特征是,在原脚本没有对COOKIE进行保护的情况下人工加入标识“HttpOnly”后,让黑客不容易从浏览器脚本中获得重要COOKIE信息,让原本不安全的网站变得安全。
【文档编号】H04L29/06GK103618721SQ201310638199
【公开日】2014年3月5日 申请日期:2013年12月3日 优先权日:2013年12月3日
【发明者】彭岸峰 申请人:彭岸峰