技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)信息技術(shù)領(lǐng)域，特別是涉及一種web端訪問(wèn)的處理方法，以及一種web端訪問(wèn)的處理裝置。

背景技術(shù)

基于web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，接踵而至的就是web安全威脅的凸顯。攻擊者利用跨站腳本攻擊XSS、web服務(wù)程序的SQL注入漏洞、水平權(quán)限漏洞等獲取web服務(wù)器的控制權(quán)限，篡改網(wǎng)頁(yè)內(nèi)容，竊取重要內(nèi)部數(shù)據(jù)，甚至?xí)诰W(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問(wèn)者受到侵害。

目前常見(jiàn)的解決方案是，針對(duì)每一個(gè)安全問(wèn)題，定制性的提供一種對(duì)應(yīng)開(kāi)發(fā)語(yǔ)言的安全代碼編寫方式，在業(yè)務(wù)系統(tǒng)研發(fā)過(guò)程中，采用該安全代碼編寫方式編寫代碼。這種方案存在的缺點(diǎn)是：

一方面，在web產(chǎn)品研發(fā)過(guò)程中，仍然需要開(kāi)發(fā)人員有良好的安全意識(shí)來(lái)使用這些安全的方法進(jìn)行編寫，對(duì)開(kāi)發(fā)人員的安全意識(shí)要求很高。

另一方面，由于采用了定制的多種代碼編寫方式，無(wú)法以標(biāo)準(zhǔn)化的形式自動(dòng)完成全部驗(yàn)證，仍然需要安全工程師進(jìn)行人工核查，特別是針對(duì)水平權(quán)限漏洞，只能采用逐個(gè)核查的方式，人力投入成本高。

最后，這種過(guò)于依賴人力投入和人工水平的方案，實(shí)質(zhì)并無(wú)法很好地控制web風(fēng)險(xiǎn)。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本申請(qǐng)實(shí)施例以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的web端訪問(wèn)的處理方法和web端訪問(wèn)的處理裝置。

為了解決上述問(wèn)題，本申請(qǐng)公開(kāi)了一種web端訪問(wèn)的處理方法，包括：

針對(duì)web端的訪問(wèn)請(qǐng)求生成反饋數(shù)據(jù)；

采用預(yù)設(shè)加密密鑰對(duì)所述反饋數(shù)據(jù)進(jìn)行加密；

將加密后的反饋數(shù)據(jù)發(fā)送至所述web端，以供所述web端根據(jù)加密后的反饋數(shù)據(jù)訪問(wèn)服務(wù)器。

優(yōu)選地，所述加密密鑰為針對(duì)所述web端的本次登錄生成的加密密鑰。

優(yōu)選地，所述加密密鑰存儲(chǔ)在對(duì)應(yīng)本此登錄的會(huì)話信息中；

在所述采用預(yù)設(shè)加密密鑰對(duì)所述反饋數(shù)據(jù)進(jìn)行加密之前，所述方法還包括：

根據(jù)對(duì)應(yīng)本次登錄的會(huì)話標(biāo)識(shí)查找對(duì)應(yīng)的會(huì)話信息，并從所述會(huì)話信息中提取加密密鑰。

優(yōu)選地，所述訪問(wèn)請(qǐng)求為登錄請(qǐng)求，在所述采用預(yù)設(shè)加密密鑰對(duì)所述反饋數(shù)據(jù)進(jìn)行加密之前，所述方法還包括：

針對(duì)所述web端的本次登錄生成加密密鑰。

優(yōu)選地，所述針對(duì)所述web端的本次登錄生成加密密鑰包括：

獲取所述web端的唯一標(biāo)識(shí)信息、對(duì)應(yīng)本次登錄的隨機(jī)數(shù)以及本次登錄的服務(wù)器時(shí)間；

根據(jù)所述唯一標(biāo)識(shí)信息、隨機(jī)數(shù)和服務(wù)器時(shí)間生成所述加密密鑰。

優(yōu)選地，所述唯一標(biāo)識(shí)信息包括所述登錄用戶的用戶ID、登錄地址以及所述web端所處用戶設(shè)備的設(shè)備標(biāo)識(shí)中至少一種，所述隨機(jī)信息包括與本次登錄對(duì)應(yīng)的服務(wù)器時(shí)間和隨機(jī)數(shù)中至少一種。

優(yōu)選地，在所述針對(duì)所述web端本次登錄生成加密密鑰之前，所述方法還包括：

在本次登錄成功后，創(chuàng)建對(duì)應(yīng)本次登錄的會(huì)話信息以及會(huì)話標(biāo)識(shí)；

在所述針對(duì)所述web端本次登錄生成加密密鑰之后，所述方法還包括：

將所述加密密鑰存儲(chǔ)至所述會(huì)話信息中。

優(yōu)選地，所述采用預(yù)設(shè)加密密鑰對(duì)所述反饋數(shù)據(jù)進(jìn)行加密包括：

采用預(yù)設(shè)加密密鑰對(duì)所述反饋數(shù)據(jù)中的變量數(shù)據(jù)進(jìn)行加密；

所述將加密后的反饋數(shù)據(jù)發(fā)送至所述web端包括：

拼裝加密的變量數(shù)據(jù)至所述反饋數(shù)據(jù)中；

將所述反饋數(shù)據(jù)反饋至所述web端。

優(yōu)選地，所述變量數(shù)據(jù)包括網(wǎng)頁(yè)地址和/或訪問(wèn)參數(shù)，所述加密采用RSA公鑰加密算法。

本申請(qǐng)還提供了一種web端訪問(wèn)的處理方法，包括：

接收web端的訪問(wèn)請(qǐng)求，所述訪問(wèn)請(qǐng)求攜帶觸發(fā)本次訪問(wèn)的加密數(shù)據(jù)，所述加密數(shù)據(jù)采用預(yù)設(shè)加密密鑰進(jìn)行加密；

解密所述加密數(shù)據(jù)，并基于解密結(jié)果響應(yīng)所述web端。

優(yōu)選地，所述加密數(shù)據(jù)為加密后的變量數(shù)據(jù)，所述加密密鑰為針對(duì)所述web端的本次登錄生成的加密密鑰。

優(yōu)選地，所述訪問(wèn)請(qǐng)求攜帶對(duì)應(yīng)所述本次登錄的會(huì)話標(biāo)識(shí)；

在所述解密所述加密數(shù)據(jù)之前，所述方法還包括：

從根據(jù)所述會(huì)話標(biāo)識(shí)查找對(duì)應(yīng)會(huì)話信息，并從所述會(huì)話信息中提取預(yù)先存儲(chǔ)的加密密鑰；

所述解密所述加密數(shù)據(jù)包括：

根據(jù)提取的加密密鑰對(duì)所述加密數(shù)據(jù)進(jìn)行解密。

優(yōu)選地，所述方法還包括：

對(duì)響應(yīng)所述web端本次訪問(wèn)的反饋數(shù)據(jù)進(jìn)行加密。

本申請(qǐng)還提供了一種web端訪問(wèn)的處理裝置，包括：