[发明专利]一种对抗XSS攻击的方法在审
| 申请号: | 201711428031.7 | 申请日: | 2017-12-26 |
| 公开(公告)号: | CN108171051A | 公开(公告)日: | 2018-06-15 |
| 发明(设计)人: | 张伟荣;季统凯 | 申请(专利权)人: | 国云科技股份有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F8/20 |
| 代理公司: | 北京科亿知识产权代理事务所(普通合伙) 11350 | 代理人: | 汤东凤 |
| 地址: | 523808 广东省东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及网站安全技术领域,具体涉及一种对抗XSS攻击的方法。本发明所述的方法是通过脚本创建一个提交按钮放在不同源的iframe中,通过iframe中的提交按钮提交父页面的表单,服务端通过检测referer是否由iframe发起判断提交合法性。本发明解决对外开放的网页表单提交功能容易受到跨站脚本攻击(XSS)的问题。 1 | ||
| 搜索关键词: | 按钮 跨站脚本攻击 脚本创建 网站安全 对抗 服务端 合法性 同源 网页 检测 | ||
【主权项】:
1.一种对抗XSS攻击的方法,其特征在于:所述的方法是通过脚本创建一个提交按钮放在不同源的iframe中,通过iframe中的提交按钮提交父页面的表单,服务端通过检测referer是否由iframe发起判断提交合法性。2.根据权利要求1所述的方法,其特征在于:所述的方法具体包含以下几个步骤:
步骤一、父页面初始化,通过脚本创建一个提交按钮,放在不同源的iframe中;
步骤二、用户点击iframe的提交按钮,设置变量clicked为true,同时通知父页面;
步骤三、父页面收到消息后,将表单数据发送到iframe并调用iframe页面的提交方法;
步骤四、iframe页面的提交方法检验变量clicked,如果为true,则将父页面发过来的数据通过Ajax发送;
步骤五、服务端接收数据,检验referer,如果为iframe的地址,则检验通过,否则提示数据来源错误;
步骤六、iframe页面的提交方法收到服务端返回数据后,将结果发送回父页面;
步骤七、父页面处理收到的返回数据,如果成功则提示提交成功,如果失败则提示详细错误。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国云科技股份有限公司,未经国云科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711428031.7/,转载请声明来源钻瓜专利网。
