本發明屬于Web安全領域，為提出XSS防御技術方案，它具有更豐富的特性和更細粒度的控制，并且完全由Javascript實現，可以兼容不同版本的瀏覽器。能夠在不修改后端源代碼的情況下，有效地防御XSS攻擊，本發明，基于改進CSP策略的XSS防御系統，由四個部分組成，策略生成模塊，策略執行模塊，后端模塊以及瀏覽器本地存儲模塊，其中策略生成模塊根據純凈的web頁面，即不含惡意代碼的頁面生成對應的安全策略，并向后端模塊下達命令，將策略存儲在瀏覽器本地存儲模塊中，策略執行模塊用于向后臺下達命令，獲取之前生成的安全策略并執行；后端模塊還會對惡意腳本所發出的請求進行攔截。本發明主要應用于Web安全場合。

技術領域

本發明屬于Web安全領域，涉及XSS(跨站腳本攻擊)防御方向，通過設計一種基于改進CSP(內容安全策略)的XSS防御技術，命名為JSCSP(基于Javascript的CSP)，實現web應用的安全性需求。具體講,涉及基于改進CSP策略的XSS防御方法。

背景技術

目前主流的XSS攻擊防御主要可以分為三種：基于waf(web應用防火墻)，基于規則過濾以及基于安全策略的防御。其中前兩種方式容易出現誤報，漏報的情況，并且不能針對不同的web應用采取不同的防御手段。而基于安全策略的防御則可以有效地改善這些缺點。CSP由W3C(萬維網聯盟)組織制定，是目前主流的基于安全策略的防御方式。CSP包含多種策略指令，大概格式如下：

default-src'self'；script-src'self”userscripts.example.com'；img-src'statics.example.com'；

清單1：CSP指令格式

清單1中共有三組策略指令default-src，script-src和img-src，分別對不同html元素的源進行了限制。其中script標簽的源只能來源是自身的域或者是userscripts.example.com，img標簽的源只能是statics.example.com，其它標簽的源則只能來源于網頁自身的域。

CSP指令通常在HTTP頭部給出，然后由瀏覽器內核解析并執行。然而這種實現方式存在一些缺點：a)不同的瀏覽器對CSP的支持程度不同，存在兼容性問題；b)CSP只能對整個頁面進行整體限制，不能做更細粒度的控制；c)CSP策略指令只能手動制定，不夠靈活。

發明內容

為克服現有技術的不足，本發明旨在提出一種新型的基于安全策略的XSS防御技術JSCSP。相比CSP，它具有更豐富的特性和更細粒度的控制，并且完全由Javascript實現，可以兼容不同版本的瀏覽器。利用此種技術，能夠在不修改后端源代碼的情況下，有效地防御XSS攻擊。為此，本發明采用的技術方案是，基于改進CSP策略的XSS防御系統，由四個部分組成，策略生成模塊，策略執行模塊，后端模塊以及瀏覽器本地存儲模塊，其中策略生成模塊根據純凈的web頁面，即不含惡意代碼的頁面生成對應的安全策略，并向后端模塊下達命令，將策略存儲在瀏覽器本地存儲模塊中，策略執行模塊用于向后臺下達命令，獲取之前生成的安全策略并執行；后端模塊還會對惡意腳本所發出的請求進行攔截。

安全策略具體包括：

1)沙盒策略：通過加入一條策略指令”eval”:false來禁止Javascript函數eval的使用；

2)元素策略：用于限制頁面中DOM元素的源，另外通過標記script標簽，以及含有事件監聽器event-handler的元素的位置，來生成白名單策略；

3)數據策略：用于保護DOM文檔中的重要數據，使之無法被攻擊者讀寫，這些數據包括form表單的password輸入框的value值，document對象的cookie屬性，window對象的localStorage屬性。

策略生成具體地：