发明名称 |
用于防御跨站脚本攻击的方法和装置 |
摘要 |
一种技术提供对web应用内容的运行时输出净化过滤,该web应用内容包含多个包括动态内容的上下文。为了方便该操作,提前准备动态生成内容以用于净化,优选地通过web应用本身(或者通过由该应用使用或者与该应用结合使用的中间件)进行“标记”。优选地,通过在动态内容指示符之间包围给定的动态生成内容来标记该给定的动态生成内容。然后,在完成文档生成之后但是在将该文档输出(传送)之前,通过内容净化过滤器处理此应用生成的内容。过滤器使用动态内容标识符以标识和定位需要输出转义的内容。过滤器检测其中放置了动态生成内容的适当上下文,然后应用适当的转义。按照这种方式,输出内容即使从不在相同的运行时环境中操作的多个输入源组装,也能够提前充分准备好输出内容以供转义。按照这种方案,在完成所有其他应用处理并且完整的文档已准备好传送到请求的终端用户之后添加转义。 |
申请公布号 |
CN103026684B |
申请公布日期 |
2016.01.06 |
申请号 |
CN201180036200.7 |
申请日期 |
2011.06.30 |
申请人 |
国际商业机器公司 |
发明人 |
M·E·祖尔科;O·S·佩克祖尔;M·麦格罗因 |
分类号 |
H04L29/06(2006.01)I;H04L29/08(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京市金杜律师事务所 11256 |
代理人 |
酆迅;陈姗姗 |
主权项 |
一种用于防御跨站脚本攻击的方法,包括:响应于web应用请求,生成包括静态内容以及一个或者多个动态输出的完整的标记语言文档;标记所述完整的标记语言文档中的所述一个或者多个动态输出的每一个动态输出以标识和定位用于输出转义的动态输出;在响应于所述web应用请求而输出所述完整的标记语言文档之前,通过标记标识和定位用于输出转义的动态输出并且净化所标记的动态输出的每一个以生成净化的完整的标记语言文档;以及输出所述净化的完整的标记语言文档。 |
地址 |
美国纽约阿芒克 |