防范XSS攻擊的體系架構(gòu)研究與實現(xiàn).pdf

1、伴隨著Web2.0技術(shù)的發(fā)展,越來越多的用戶更喜歡使用功能豐富、交互性強并且實用性良好的Web應(yīng)用程序。它允許接收用戶的輸入值,并將用戶輸入的值與后臺數(shù)據(jù)庫進行交互。然而,如果沒有對用戶輸入的值是惡意的內(nèi)容,那就可能給Web應(yīng)用程序帶來安全性問題。在諸多Web應(yīng)用程序安全漏洞攻擊中,跨站點腳本(XSS)漏洞攻擊是近年來最嚴(yán)重的安全威脅之一。一旦用戶在不知情的狀態(tài)下瀏覽了攻擊者在網(wǎng)頁插入的惡意腳本后,這些腳本就會在用戶在瀏覽器中執(zhí)行,進而

2、獲取 Web應(yīng)用程序和用戶的敏感信息。因此,如何準(zhǔn)確地檢測和防范XSS攻擊對保證Web應(yīng)用程序安全性具有十分重要的意義。
　　目前,防范 XSS攻擊的方法并不多,傳統(tǒng)的方法包括輸入過濾、數(shù)據(jù)流跟蹤、滲透測試等。這些方法不僅不能防范所有類型的XSS攻擊,而且漏報率和誤報率都普遍偏高。
　　針對傳統(tǒng)防范方法的不足,本文研究設(shè)計了一種防范XSS攻擊的體系架構(gòu),包括服務(wù)器端和服務(wù)器代理兩部分。通過在服務(wù)器端利用生成的隨機數(shù)對原始網(wǎng)頁

3、的可信內(nèi)容和DOM動態(tài)寫入的腳本進行標(biāo)識,并且制定了一個用于過濾HTML文本的策略。在服務(wù)器代理中,利用服務(wù)器端傳送過來的隨機數(shù)和策略對響應(yīng)頁面內(nèi)容進行分析和判斷。該架構(gòu)的實現(xiàn)基于MVC設(shè)計模式,不需要客戶端瀏覽器的支持,而且能夠有效地防范各種類型的XSS攻擊,對系統(tǒng)的性能影響也不大,能滿足一般Web用戶的需求。
　　最后給出了具體的體系架構(gòu)實現(xiàn)方案,通過實驗驗證了該架構(gòu)防范 XSS攻擊的有效性。與同類防護工具相比,具有一定的優(yōu)勢