防范XSS攻擊的體系架構(gòu)研究與實(shí)現(xiàn).pdf

1、伴隨著Web2.0技術(shù)的發(fā)展,越來(lái)越多的用戶(hù)更喜歡使用功能豐富、交互性強(qiáng)并且實(shí)用性良好的Web應(yīng)用程序。它允許接收用戶(hù)的輸入值,并將用戶(hù)輸入的值與后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行交互。然而,如果沒(méi)有對(duì)用戶(hù)輸入的值是惡意的內(nèi)容,那就可能給Web應(yīng)用程序帶來(lái)安全性問(wèn)題。在諸多Web應(yīng)用程序安全漏洞攻擊中,跨站點(diǎn)腳本(XSS)漏洞攻擊是近年來(lái)最嚴(yán)重的安全威脅之一。一旦用戶(hù)在不知情的狀態(tài)下瀏覽了攻擊者在網(wǎng)頁(yè)插入的惡意腳本后,這些腳本就會(huì)在用戶(hù)在瀏覽器中執(zhí)行,進(jìn)而

2、獲取 Web應(yīng)用程序和用戶(hù)的敏感信息。因此,如何準(zhǔn)確地檢測(cè)和防范XSS攻擊對(duì)保證Web應(yīng)用程序安全性具有十分重要的意義。
　　目前,防范 XSS攻擊的方法并不多,傳統(tǒng)的方法包括輸入過(guò)濾、數(shù)據(jù)流跟蹤、滲透測(cè)試等。這些方法不僅不能防范所有類(lèi)型的XSS攻擊,而且漏報(bào)率和誤報(bào)率都普遍偏高。
　　針對(duì)傳統(tǒng)防范方法的不足,本文研究設(shè)計(jì)了一種防范XSS攻擊的體系架構(gòu),包括服務(wù)器端和服務(wù)器代理兩部分。通過(guò)在服務(wù)器端利用生成的隨機(jī)數(shù)對(duì)原始網(wǎng)頁(yè)

3、的可信內(nèi)容和DOM動(dòng)態(tài)寫(xiě)入的腳本進(jìn)行標(biāo)識(shí),并且制定了一個(gè)用于過(guò)濾HTML文本的策略。在服務(wù)器代理中,利用服務(wù)器端傳送過(guò)來(lái)的隨機(jī)數(shù)和策略對(duì)響應(yīng)頁(yè)面內(nèi)容進(jìn)行分析和判斷。該架構(gòu)的實(shí)現(xiàn)基于MVC設(shè)計(jì)模式,不需要客戶(hù)端瀏覽器的支持,而且能夠有效地防范各種類(lèi)型的XSS攻擊,對(duì)系統(tǒng)的性能影響也不大,能滿(mǎn)足一般Web用戶(hù)的需求。
　　最后給出了具體的體系架構(gòu)實(shí)現(xiàn)方案,通過(guò)實(shí)驗(yàn)驗(yàn)證了該架構(gòu)防范 XSS攻擊的有效性。與同類(lèi)防護(hù)工具相比,具有一定的優(yōu)勢(shì)