技術領域

本發明涉及通信領域，具體而言，涉及一種網頁安全檢測方法及裝置。

背景技術

在相關技術中，ClickJacking(點擊劫持)是一種基于視覺欺騙的Web攻擊方式，通過誘導用戶操作隱藏在頁面上層的引用內容來執行部分惡意程序，隱藏內容是通過設置屬性為透明的iframe控件來實現的。經過黑客精心設計的ClickJacking攻擊頁面，無論是用戶有意或是無意的操作，都可能會下載惡意的木馬程序、上傳用戶名密碼等敏感信息。

在相關技術中，比較可靠的防護技術是使用超文本傳輸協議(HyperText Transfer Protocol，簡稱為HTTP)響應頭信息中的X-Frame-Options屬性進行防護，X-Frame-Options屬性有三種取值：DENY，表示該頁面不允許在iframe中展示，即便是在相同域名的頁面中嵌套也不允許；SAMEORIGIN，表示該頁面可以在相同域名頁面的iframe中展示；ALLOW-FROM表示該頁面可以在指定來源的iframe中展示。

但是，X-Frame-Options的DENY和SAMEORIGIN這兩種屬性會限制iframe的使用，而ALLOW-FROM雖然可以允許iframe，但這種實現方式是基于服務端的，增加了后臺的負擔。

針對相關技術中，由于點擊劫持的造成的網頁安全問題，目前還沒有有效地解決方案。

發明內容

本發明實施例提供了一種網頁安全檢測方法及裝置，以至少解決相關技術中由于點擊劫持的造成的網頁安全問題。

根據本發明的一個實施例，提供了一種網頁安全檢測方法，包括：

在引用站點與目標站點處于同源域的情況下，獲取待檢測控件列表，其中，該待檢測控件列表中包括所述引用站點和所述目標站點的待檢測控件，所述引用站點用于通過所述引用站點的待檢測控件加載所述目標站點；

依據預設白名單判斷所述待檢測控件列表中的待檢測控件是否為非法控件，并依據判斷結果確定所述引用站點是否為合法站點。

可選地，依據判斷結果確定所述引用站點是否為合法站點，包括：在所述待檢測控件列表中的所有控件均存在于所述預設白名單中時，確定所述引用站點為合法站點，允許通過所述引用站點加載所述目標站點。

可選地，依據預設白名單判斷所述待檢測控件列表中的待檢測控件是否為非法控件，并依據判斷結果確定所述引用站點是否為合法站點，包括：

在所述待檢測控件列表中的至少一個待檢測控件未存在于所述預設白名單中時，確定所述至少一個待檢測控件為非法控件，并確定所述引用站點為非法站點，拒絕通過所述引用站點加載所述目標站點。

可選地，所述獲取引用站點和目標站點的一個或多個待檢測控件之前，所述方法還包括：獲取所述引用站點和所述目標站點各自的頂層統一資源定位符(Uniform Resource Locator，簡稱為url)路徑，依據所述頂層url路徑判斷所述引用站點和所述目標站點是否屬于同源域。

可選地，依據預設白名單判斷所述待檢測控件列表中的待檢測控件是否為非法控件之前，所述方法還包括：從網絡側設備獲取預先存儲的所述預設白名單。

根據本發明的另一個實施例，還提供了一種網頁安全檢測方法，包括：

網絡側設備向用戶設備下發預設白名單，其中，所述預設白名單用于為所述用戶設備判斷待檢測控件列表中的待檢測控件是否為合法控件提供依據，其中，所述待檢測控件列表中包括引用站點和目標站點的待檢測控件，所述引用站點用于通過所述引用站點的待檢測控件加載所述目標站點。

可選地，所述網絡側設備通過以下方式之一向所述用戶設備下發所述預設白名單，包括：所述網絡側設備依據預定時間點向所述用戶設備下發所述預設白名單；所述網絡側設備接收所述用戶設備的請求信息，并依據所述請求信息向所述用戶設備下發所述預設白名單。

根據本發明的另一個實施例，還提供了一種網頁安全檢測裝置，包括：

獲取模塊，用于在引用站點與目標站點處于同源域的情況下，獲取待檢測控件列表，其中，該待檢測控件列表中包括所述引用站點和所述目標站點的待檢測控件，所述引用站點用于通過所述引用站點的待檢測控件加載所述目標站點；

判斷模塊，用于依據預設白名單判斷所述待檢測控件列表中的待檢測控件是否為非法控件，并依據判斷結果確定所述引用站點是否為合法站點。

可選地，所述判斷模塊還用于在所述待檢測控件列表中的所有控件均存在于所述預設白名單中時，確定所述引用站點為合法站點，允許通過所述引用站點加載所述目標站點。