[发明专利]浏览器业务数据的处理方法和装置

说明书

技术领域

本发明涉及网络通信领域，特别涉及一种浏览器业务数据的处理方法和装置。

背景技术

随着网络技术的发展，网络应用层各类应用为用户提供了越来越丰富的体验，特别是各类web应用，包括目前流行的基于web2.0技术的应用。这些web应用通常包含大量的动态内容，极大地提高了用户的体验。然而，在复杂的网络应用环境下，针对web应用的安全问题也受到越来越多的关注。

跨站脚本（Cross Site Scripting,也称XSS）漏洞攻击是针对web应用的一种常见的攻击手段。跨站脚本漏洞是服务器端web应用程序存在的漏洞。攻击者利用服务器端web应用程序存在这一漏洞，在服务器端web应用程序中写入其构造的恶意脚本代码。当客户端请求加载该服务器端web应用程序的页面时，包含恶意脚本代码的页面被加载到客户端的浏览器上，由于客户端的浏览器不能识别恶意脚本代码，并执行该恶意脚本代码，从而使客户端受到攻击。

攻击者可以构造各种恶意脚本代码，实现不同的攻击目的。例如，恶意脚本代码包含要求客户端浏览器发送客户端cookie等信息命令，客户端的浏览器执行该代码后，将客户端浏览器这些与其身份或隐私有关的受限访问信息发送给攻击者指定的目的地，从而泄漏客户端用户的隐私。又或者，客户端浏览器执行包含重定向命令的恶意脚本代码后，将客户端浏览器的页面重定向到特定的页面，例如，通常这些特定的页面可以是与真实的网站极为相似的钓鱼网站，从而获取客户端用户的网站登陆信息。

可见，利用跨站脚本漏洞进行攻击时，攻击者利用服务器的漏洞上写入恶意脚本代码，而最终是在客户端浏览器上运行该恶意脚本代码时实现攻击。因此，跨站脚本漏洞攻击较容易实现，而又具有高风险性和隐蔽性的一种攻击方式。

现有技术中，针对跨站脚本漏洞攻击的防御方法，通常对存在跨站脚本漏洞的服务器端web应用程序进行修复，以防止攻击者将恶意脚本代码写入到服务器端web应用程序。这些方法包括对服务器web程序接收到的字符串进行过滤，或者采用web应用防火墙（Web Application Firewall,WAF）等技术对服务器端web应用程序进行保护。

上述这些防御技术虽然从一定程度上可以阻止跨站脚本漏洞攻击，然而，这些方法需要提供web应用服务的提供商对服务器端web应用程序是否存在漏洞进行及时的检查，特别是当出现新的web应用时，一旦出现跨站脚本漏洞而没有被修复，将可能立即被攻击者利用，使连接该web应用服务器的客户端遭受攻击。可见，以上跨站脚本漏洞的防御方法仅仅从服务器端进行保护，而不能提供基于客户端的保护。尤其当web应用服务器遭受攻击，客户端由于无法防御跨站脚本漏洞的攻击，从而遭受跨站脚本漏洞攻击，更严重地，可能给客户端用户带来严重的损失。

发明内容

本发明的发明人发现上述现有技术中的问题，提出了一种新的技术方案，以提供基于客户端的跨站脚本漏洞攻击的防护。

根据本发明的一个方面，提供一种浏览器业务数据的处理方法，该方法包括：

通过浏览器辅助对象BHO插件监听客户端浏览器发出的操作请求，所述BHO插件预先安装在所述客户端浏览器上；

当所述BHO插件监听到所述客户端浏览器发出操作请求时，识别所述操作请求的类型；

响应于所述操作请求的类型为加载远端服务器的业务数据的操作请求，所述BHO插件识别所述远端服务器的业务数据是否符合预先设置的安全规则；

响应于所述远端服务器的业务数据符合所述预先设置的安全规则，所述BHO插件从所述远端服务器获取所述业务数据；

所述客户端浏览器加载所述远端服务器的业务数据。

根据本发明的另一个方面，还提供了一种浏览器业务数据的处理装置，包括：

浏览器辅助对象BHO插件，安装在所述客户端浏览器上，用于监听客户端浏览器发出的操作请求，当监听到所述客户端浏览器发出操作请求时，识别所述操作请求的类型；响应于所述操作请求的类型为加载远端服务器的业务数据的操作请求，识别所述远端服务器的业务数据是否符合预先设置的安全规则；响应于所述远端服务器的业务数据符合所述预先设置的安全规则，所述BHO插件从所述远端服务器获取所述业务数据；

客户端浏览器，用于加载BHO插件；发出操作请求；加载所述BHO插件从所述远端服务器获取的所述业务数据。