| 发明名称 | 一种用于JAVA WEB应用的XSS防御方法及组件 | ||
| 摘要 | 本发明公开一种用于JAVA WEB应用的XSS防御方法及组件,方法包括:获取至少一个XSS过滤策略并保存到XSS过滤单元;接收到客户端发送的包括统一资源定位符的应用请求,对所述统一资源定位符进行预处理得到参数列表,所述参数列表包括至少一个参数关键词以及至少一个与所述参数关键词对应的参数值;从所述XSS过滤单元获取至少一个XSS过滤策略,对所述参数列表进行过滤,得到过滤后的参数列表;根据所述过滤后的参数列表,执行所述应用请求所请求的JAVA WEB应用。本发明针对不同的XSS漏洞,可以编写独立的XSS过滤策略,当出现新的XSS漏洞时,也只需要更新XSS过滤策略。由于不涉及业务执行代码,服务器无需下线更新,能够提供长期的在线服务。 | ||
| 申请公布号 | CN104182685A | 申请公布日期 | 2014.12.03 |
| 申请号 | CN201410409134.9 | 申请日期 | 2014.08.19 |
| 申请人 | 北京京东尚科信息技术有限公司;北京京东世纪贸易有限公司 | 发明人 | 张帅;何坚韧 |
| 分类号 | G06F21/55(2013.01)I | 主分类号 | G06F21/55(2013.01)I |
| 代理机构 | 北京邦信阳专利商标代理有限公司 11012 | 代理人 | 金玺 |
| 主权项 | 一种用于JAVA WEB应用的XSS防御方法,其特征在于,包括:获取至少一个XSS过滤策略并保存到XSS过滤单元;接收到客户端发送的包括统一资源定位符的应用请求,对所述统一资源定位符进行预处理得到参数列表,所述参数列表包括至少一个参数关键词以及至少一个与所述参数关键词对应的参数值;从所述XSS过滤单元获取至少一个XSS过滤策略,对所述参数列表进行过滤,得到过滤后的参数列表;根据所述过滤后的参数列表,执行所述应用请求所请求的JAVA WEB应用。 | ||
| 地址 | 100080 北京市海淀区杏石口路65号西杉创意园西区11C楼东段1-4层西段1-4层 | ||