防范XSS攻擊的體系架構研究與實現(xiàn).pdf

1、伴隨著Web2.0技術的發(fā)展,越來越多的用戶更喜歡使用功能豐富、交互性強并且實用性良好的Web應用程序。它允許接收用戶的輸入值,并將用戶輸入的值與后臺數(shù)據(jù)庫進行交互。然而,如果沒有對用戶輸入的值是惡意的內容,那就可能給Web應用程序帶來安全性問題。在諸多Web應用程序安全漏洞攻擊中,跨站點腳本(XSS)漏洞攻擊是近年來最嚴重的安全威脅之一。一旦用戶在不知情的狀態(tài)下瀏覽了攻擊者在網(wǎng)頁插入的惡意腳本后,這些腳本就會在用戶在瀏覽器中執(zhí)行,進而

2、獲取 Web應用程序和用戶的敏感信息。因此,如何準確地檢測和防范XSS攻擊對保證Web應用程序安全性具有十分重要的意義。
　　目前,防范 XSS攻擊的方法并不多,傳統(tǒng)的方法包括輸入過濾、數(shù)據(jù)流跟蹤、滲透測試等。這些方法不僅不能防范所有類型的XSS攻擊,而且漏報率和誤報率都普遍偏高。
　　針對傳統(tǒng)防范方法的不足,本文研究設計了一種防范XSS攻擊的體系架構,包括服務器端和服務器代理兩部分。通過在服務器端利用生成的隨機數(shù)對原始網(wǎng)頁

3、的可信內容和DOM動態(tài)寫入的腳本進行標識,并且制定了一個用于過濾HTML文本的策略。在服務器代理中,利用服務器端傳送過來的隨機數(shù)和策略對響應頁面內容進行分析和判斷。該架構的實現(xiàn)基于MVC設計模式,不需要客戶端瀏覽器的支持,而且能夠有效地防范各種類型的XSS攻擊,對系統(tǒng)的性能影響也不大,能滿足一般Web用戶的需求。
　　最后給出了具體的體系架構實現(xiàn)方案,通過實驗驗證了該架構防范 XSS攻擊的有效性。與同類防護工具相比,具有一定的優(yōu)勢