技術領域

本發明涉及Web服務器及方法，更具體地，涉及用于防止跨站腳本攻擊的Web服務器及方法。

背景技術

目前，隨著計算機和網絡應用的日益廣泛以及不同領域的業務種類的日益豐富，瀏覽器和Web服務器之間進行安全的數據傳輸以防止跨站腳本攻擊(即XSS,其指的是由于HTTP響應中包含了非法數據而導致瀏覽器執行惡意代碼,從而獲取用戶的cookie數據(其是為了辨別用戶身份、進行會話跟蹤而儲存在用戶本地終端上的數據)、并進而制造欺詐頁面實現釣魚攻擊等等)變得越來越重要。

現有的兩種防止跨站腳本攻擊的方式如下：（1）將Web網頁劃分成不接收輸入的入口網頁和保護網頁，客戶端訪問入口網頁時，服務器端對用戶授權并將授權數據送回客戶端，而當客戶端訪問保護頁面時，服務器端檢查是否攜帶了授權數據，如果已授權則將該頁面送回客戶端，否則將請求重定向到入口網頁；（2）在客戶端的瀏覽器中安裝過濾器以截取瀏覽器與服務器之間的HTTP請求和響應，并將請求中URL和POST數據的可疑部分與響應的頁面內容進行匹配操作，從而判斷響應是否包含XSS攻擊。

然而，現有的技術方案存在如下問題：（1）針對第一種方式，由于沒有對當已授權的客戶端請求中可能包含惡意代碼的情況進行處理，故難于避免針對服務器端的XSS攻擊；（2）針對第二種方式，由于完全聚焦于客戶端，即從客戶端的角度識別反射式XSS攻擊，并禁止腳本在客戶端上執行，故沒有從根源上消除XSS攻擊，此外，由于過濾器被安裝在客戶端側，故對瀏覽器的配置和性能的要求較高，另外，僅能夠過濾現存已知的XSS漏洞，而出現新的XSS漏洞時需要更新客戶端的過濾器，故維護成本較高。

因此，存在如下需求：提供能夠有效地防止針對瀏覽器和/或Web服務器的跨站腳本攻擊的Web服務器及方法。

發明內容

為了解決上述現有技術方案所存在的問題，本發明提出了能夠有效地防止針對瀏覽器和/或Web服務器的跨站腳本攻擊的Web服務器及方法。

本發明的目的是通過以下技術方案實現的：

一種防止跨站腳本攻擊的Web服務器，所述防止跨站腳本攻擊的Web服務器包括：

預處理單元,所述預處理單元接收到來自瀏覽器的HTTP請求后截獲所述HTTP請求，并根據過濾器映射表確定是否需要執行針對所述HTTP請求的過濾操作，并且如果確定需要執行針對所述HTTP請求的過濾操作，則將所述HTTP請求傳送到過濾器;

過濾器,所述過濾器接收到所述HTTP請求后根據預定的跨站腳本攻擊判斷規則和跨站腳本攻擊處理規則執行針對所述HTTP請求的過濾操作，如果所述過濾操作的結果是“不滿足跨站腳本攻擊規則”，則將所述HTTP請求傳送到Web資源處理單元，如果所述過濾操作的結果是“滿足跨站腳本攻擊規則且不中斷Web資源請求”，則對所述HTTP請求進行轉義處理并將經轉義的HTTP請求傳送到Web資源處理單元，如果所述過濾操作的結果是“滿足跨站腳本攻擊規則且中斷Web資源請求”，則構造表示“Web瀏覽器公共報錯頁面”的HTTP應答并將該HTTP應答傳送回所述瀏覽器以終止本次HTTP會話;

Web資源處理單元,所述Web資源處理單元解析并處理接收到的HTTP請求或經轉義的HTTP請求以構造相應的HTTP應答，以及將所述HTTP應答傳送到所述過濾器。

在上面所公開的方案中，優選地，通過Web應用部署描述符文件定義所述過濾器映射表，其中，所述過濾器映射表定義過濾器和HTTP請求之間的映射關系。

在上面所公開的方案中，優選地，所述跨站腳本攻擊處理規則包括下列規則中的一個或多個：是否開啟消息頭校驗、是否記錄攻擊日志、是否中斷Web資源請求、是否轉義非法數據，其中，是否中斷Web資源請求和是否轉義非法數據之間是互斥的。

在上面所公開的方案中，優選地，所述過濾操作包括下列步驟：

（1）加載并解析安全審核配置文件以獲得所述預定的跨站腳本攻擊判斷規則和跨站腳本攻擊處理規則，其中，所述預定的跨站腳本攻擊判斷規則是正則表達式的形式；