[发明专利]一种网页资源处理方法、装置及电子设备

说明书

本发明的实施例公开一种网页资源处理方法、装置及电子设备，包括：当接收到终端设备发送的网页资源请求时，确定终端设备的用户是否为授权用户，网页资源请求用于请求指定网页的网页资源；当用户为授权用户时，向终端设备返回该指定网页的针对授权用户的第一网页资源，该第一网页资源中包含名称固定且设置受访权限的JS脚本；当用户为未授权用户时，向终端设备返回该指定网页的针对未授权用户的第二网页资源，该第二网页资源中不包含名称固定且设置受访权限的该JS脚本。采用本方案，使得攻击者难以发起XSS攻击，提高了网页资源使用的安全性。

技术领域

本发明涉及互联网技术领域，尤其涉及一种网页资源处理方法、装置及电子设备。

背景技术

XSS(Corss Site Scripting，跨站脚本攻击)攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。在XSS攻击的大部分攻击方式中，攻击者恶意调用网站页面中的前后端交互窗口，篡改前端的网页资源，例如，JS脚本，并利用篡改的JS脚本向后端输入恶意代码，进而达到攻击目的。无论是反射型XSS攻击，还是存储型XSS攻击，都基于在前端获取、篡改网页资源后进行恶意攻击。

发明内容

有鉴于此，本发明实施例提供一种网页资源处理方法、装置及电子设备，用以解决现有技术中存在的利用前端的网页资源进行XSS攻击的可能性较大的问题。

第一方面，本发明实施例提供一种网页资源处理方法，应用于网站服务器，包括：

当接收到终端设备发送的网页资源请求时，确定所述终端设备的用户是否为授权用户，所述网页资源请求用于请求指定网页的网页资源；

当所述用户为授权用户时，向所述终端设备返回所述指定网页的针对授权用户的第一网页资源，所述第一网页资源中包含名称固定且设置受访权限的JS脚本；

当所述用户为未授权用户时，向所述终端设备返回所述指定网页的针对未授权用户的第二网页资源，所述第二网页资源中不包含名称固定且设置受访权限的所述JS脚本。

根据本发明实施例的一种具体实现方式，还包括：

当所述指定网页为需要授权的网页，且所述用户为授权用户时，向所述终端设备返回与所述指定网页满足预设关联条件的其他网页的JS脚本；

当所述指定网页为不需要授权的网页时，取消向所述终端设备返回与所述指定网页满足预设关联条件的其他网页的JS脚本；

当所述指定网页为需要授权的网页，且所述用户为未授权用户时，取消向所述终端设备返回所述指定网页的网页资源。

根据本发明实施例的一种具体实现方式，还包括：

当所述指定网页为需要授权的网页，且所述用户为未授权用户时，向所述终端设备返回登录页面的网页资源，使得所述终端设备使用接收的该网页资源加载登录页面；或者

当所述指定网页为需要授权的网页，且所述用户为未授权用户时，向所述终端设备返回权限申请页面的网页资源，使得所述终端设备使用接收的该网页资源加载权限申请页面。

根据本发明实施例的一种具体实现方式，所述第一网页资源中还包含所述指定网页未使用的公用JS脚本；

所述第二网页资源中不包含所述指定网页未使用的所述公用JS脚本。

第二方面，本发明实施例还提供一种网页资源处理装置，应用于网站服务器，包括：

用户确定模块，用于当接收到终端设备发送的网页资源请求时，确定所述终端设备的用户是否为授权用户，所述网页资源请求用于请求指定网页的网页资源；