CN110336812A - 资源拦截处理方法、装置、计算机设备和存储介质 - Google Patents
资源拦截处理方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN110336812A CN110336812A CN201910586218.2A CN201910586218A CN110336812A CN 110336812 A CN110336812 A CN 110336812A CN 201910586218 A CN201910586218 A CN 201910586218A CN 110336812 A CN110336812 A CN 110336812A
- Authority
- CN
- China
- Prior art keywords
- domain name
- interception mode
- white list
- resource
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请涉及一种资源拦截处理方法、系统、计算机设备和存储介质。方法包括:获取业务待加载资源对应的业务域名,将所述业务域名加入白名单;对业务对应的目标网页的拦截方式进行本地配置,将所述白名单中的业务域名作为所述目标网页对应头部标签的内容属性值;当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器;通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务;根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录,通过这种处理方式,可以有效的对白名单之外的域名进行拦截,同时,还可以对目标网页中其他注入的域名进行实时监控,从而可以及时更新对应的拦截规则。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种资源拦截处理方法、装置、计算机设备和存储介质。
背景技术
XSS(Cascading Style Sheets,CSS)攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,骇客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
在传统技术中,为了阻止XSS攻击,前端项目中可以使用Vue框架,框架层本身可以对XSS进行了过滤,也可以在前端基础库封装统一的XSS过滤方法,在代码层面进行过滤,统一对url参数和cookie进行了一些特殊字符和标签(如:<,>,‘,“,%3c,%3e,%27,<script>,<iframe>等)的过滤。
然而,这些对XSS攻击的处理方法主要是在代码层对XSS攻击进行过滤,处理方式主要是对一些特殊字符进行编码,并不能有效的对注入来源进行监控和上报,开发人员无法得知网页线上的实际注入情况,不能实时监控和及时更新规则,且由于依赖基础库代码的过滤,如果该网页没有引入基础库则无法进行过滤;不是统一处理,可能会产生遗漏的情况。
发明内容
基于此,有必要针对上述技术问题,提供一种能够有效拦截XSS攻击且能够进行实时监控的资源拦截处理方法、装置、计算机设备和存储介质。
一种资源拦截处理方法,所述方法包括:
获取业务待加载资源对应的业务域名,将所述业务域名加入白名单;
对业务对应的目标网页的拦截方式进行本地配置,将所述白名单中的业务域名作为所述目标网页对应头部标签的内容属性值;
当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器;
通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务;
根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录。
一种资源拦截处理装置,所述装置包括:
白名单模块,用于获取业务待加载资源对应的业务域名,将所述业务域名加入白名单;
本地配置模块,用于对业务对应的目标网页的拦截方式进行本地配置,将所述白名单中的业务域名作为所述目标网页对应头部标签的内容属性值;当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器;
拦截监控模块,用于通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务;根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录。
一种计算机设备,包括存储器、处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取业务待加载资源对应的业务域名,将所述业务域名加入白名单;
对业务对应的目标网页的拦截方式进行本地配置,将所述白名单中的业务域名作为所述目标网页对应头部标签的内容属性值;
当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器;
通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务;
根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取业务待加载资源对应的业务域名,将所述业务域名加入白名单;
对业务对应的目标网页的拦截方式进行本地配置,将所述白名单中的业务域名作为所述目标网页对应头部标签的内容属性值;
当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器;
通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务;
根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录。
上述资源拦截处理方法、装置、计算机设备和存储介质,通过获取需要的业务域名并加入至白名单后,对业务对应的目标网页的拦截方式进行本地配置,将白名单中的业务域名作为目标网页对应头部标签的内容属性值,当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器,通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务,根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录,通过这种处理方式,可以有效的对白名单之外的域名进行拦截,同时,还可以对目标网页中其他注入的域名进行实时监控,从而可以及时更新对应的拦截规则。
附图说明
图1为一个实施例中资源拦截处理方法的应用环境图;
图2为一个实施例中资源拦截处理方法的流程示意图;
图3为一个实施例中资源拦截处理装置的结构框图;
图4为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的资源拦截处理方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104通过网络进行通信。在终端102上可以安装浏览器,通过浏览器对非白名单内的域名进行监控。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种资源拦截处理方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤201,获取业务待加载资源对应的业务域名,将业务域名加入白名单。
步骤202,对业务对应的目标网页的拦截方式进行本地配置,将白名单中的业务域名作为目标网页对应头部标签的内容属性值。
业务域名是指与业务相关的域名,业务域名可以包括业务主体对应的域名和业务需要进行合作的第三方域名。比如,珍爱网的业务域名包括zhenai.com和第三方合作的腾讯QQ的域名qq.com。因此,实际上加入至白名单中的业务域名包含主体业务对应的域名和第三方域名。加入了白名单中的业务域名是指允许直接在目标网页上加载的域名。目标网页是指需要对其资源加载进行拦截处理的网页。比如,网页A为主业务对应的网页,在此网页A上加载的资源有多个,既包含有内部的资源加载,也包含有合作的第三方域名需要加载的资源。然而,引入了第三方域名的资源后,第三方域名可能通过各种方式注入网页A不需要加载的其他资源,比如广告,病毒之类的。那么则需要对网页A上加载的资源进行拦截。即,需要针对目标网页制定相应的csp(内容安全策略)规则。进一步的,csp规则至少包含白名单和拦截方式等,这些信息综合起来构成了设定的csp规则。
在配置了白名单中的业务域名后,还可以对业务所对应的目标网页的拦截方式进行本地配置。具体的,目标网页有对应的头部标签,即meta标签。实际上,在CSP规则中有两种设置方式,一种是在html上设置meta标签,另一种是设置http的头部,而此处是进行本地配置,而在进行本地调试时,为了方便调试和更新,可以使用直接在html上设置meta标签的方法。
在meta标签中,包含有多个属性,比如http-equiv属性和content属性http-equiv属性用于把content属性关联到HTTP头部,content属性用于与http-equiv或name属性相关的元信息。因此,可以将content属性设置为白名单中的业务域名,同时可以将http-equiv属性设为Content-Security-Policy或设置为Content-Security-Policy-Report-Only。Content-Security-Policy是指直接阻止不符合策略的资源加载,简称直接阻止拦截方式,也就是说,当将http-equiv属性设为Content-Security-Policy时,浏览器将会根据此内容安全策略对目标网页的资源加载进行监控,当浏览器监控到目标网页上有不属于content属性内包含的域名进行资源加载时,浏览器将会直接禁止该域名对应的资源加载,即在目标网页上将无法显示该域名对应的资源。Content-Security-Policy-Report-Only是指只记录违反限制的行为,不限制资源的加载,简称非直接阻止拦截方式。当将http-equiv属性设为Content-Security-Policy-Report-Only时,浏览器将会根据此内容安全策略对目标网页的资源加载进行监控,当浏览器监控到目标网页上有不属于content属性内包含的域名进行资源加载时,浏览器将不会禁止该域名对应的资源加载,即在目标网页上将正常显示该域名对应的资源,同时,浏览器会对该域名的资源加载状况进行监控与记录,可以将监控到的信息上传至指定的接口以做备份保存。
因此,实际上拦截方式的本地配置方式可以是指通过设置http-equiv属性和content属性对拦截方式进行配置。在此基础上,还可以对其他属性进行配置,对目标网页上的资源加载进行进一步的深度拦截。比如可以在设置将http-equiv属性时,还可以增加多个关键字,比如default-src、unsafe-inline以及unsafe-eval等。default-src代表是否直接允许域名加载,unsafe-inline代表是否允许页面上的脚本加载,unsafe-eval代表是否允许eval方法执行加载。比如,将http-equiv属性设置为以下内容:Content-Security-Policy:‘unsafe-inline’,这种配置代表允许页面上的脚本加载。如果设置为以下内容:Content-Security-Policy:‘unsafe-eval,这种配置代表允许页面上有eval方法执行加载。
步骤203,当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器。
在对目标网页的拦截方式进行了本地配置后,可以先对拦截方式是否生效进行验证。验证本地配置生效后,可以再将拦截方式的配置信息上传至服务器,由服务器下发同步至线上的在线服务,即可以对用户使用接触到的目标网页进行对应拦截。
在一个实施例中,当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器,包括:当拦截方式为直接阻止时,若目标网页无法加载非白名单内的域名对应的资源时,确定直接阻止的拦截方式生效;当拦截方式为非直接阻止时,若目标网页正常加载白名单内的域名对应的资源时,确定非直接阻止的拦截方式生效。
在验证本地配置的拦截方式是否生效时,可以通过以下方式验证。当将拦截方式设置为直接阻止时,可以尝试在目标网页上加载非白名单内的域名的资源,检测在目标网页上是否能够成功加载该资源。若是非白名单内的域名对应的资源在目标网页上无法正常加载,则说明直接阻止的拦截方式是生效的。同理,当将拦截方式设置为非直接阻止时,可以尝试在目标网页上加载非白名单内的域名的资源,检测在目标网页上是否能够成功加载该资源。若是非白名单内的域名对应的资源在目标网页上能够正常加载,则说明非直接阻止的拦截方式是生效的。
在一个实施例中,资源拦截处理方法还包括:将拦截方式设置为非直接阻止,验证白名单中的域名对应的资源是否能够成功访问;当白名单中的域名对应的资源成功访问时,将拦截方式设置为直接阻止;当白名单中的域名对应的资源能够成功访问时,确定拦截方式的配置生效。
在本实施例中,还可以拦截方式是否生效进行交叉验证。可以将拦截方式设置为非直接阻止,验证白名单中的域名对应的资源是否能够成功访问,若是白名单中的域名对应的资源能够成功访问,则说明非直接阻止的拦截方式是生效的。可以再将拦截方式设置为直接阻止,验证白名单中的域名对应的资源是否能够成功访问,若是白名单中的域名对应的资源能够成功访问时,则可以确定直接阻止的拦截方式的配置生效,从而可以确定这两种拦截方式的配置都是可以生效的。
步骤204,通过服务器将白名单和拦截方式的配置信息同步至在线服务。
步骤205,根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录。
在验证了拦截方式的本地配置生效后,可以将拦截方式的配置信息上传至服务器,通过服务器将白名单和拦截方式的配置信息同步至在线服务。本地配置是指在未同步至线上服务,而只是利用本地数据进行调试和更新的操作。而线上服务,是指用户可以通过网络访问的。同时,即可以通过浏览器根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录。
在一个实施例中,当拦截方式为非直接阻止时,在根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录之后,还包括:获取拦截次数超过预设阈值的待新增域名,将超过预设阈值的待新增域名加入至黑名单;阻止目标网页加载黑名单中的域名对应的资源。
当将目标网页的拦截方式设置为非直接阻止时,即非白名单内的域名对应的资源也可以在目标网页上正常加载显示,终端上安装的浏览器可以根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录,可以将追踪记录的信息上传至服务器进行保存。服务器可以获取到拦截次数超过预设阈值的待新增域名,比如将预设阈值设置为10,则服务器可以将拦截次数超过10次的域名进行记录,并将这些域名加入至黑名单,如此,即便目标网页的拦截方式是非直接阻止,黑名单中的域名对应的资源也仍然会被阻止加载,则终端上安装的浏览器会阻止目标网页上加载黑名单中的域名对应的资源。
在一个实施例中,上述资源拦截处理方法还包括:当监控到目标网页有加载非白名单内的待新增域名对应的资源时,对待新增域名在加载信息进行记录;将加载信息上传至指定接口进行备份保存。
当终端将本地配置的拦截方式的配置信息上传至服务器后,服务器可以将白名单和拦截方式的配置信息同步至在线服务,浏览器可以根据服务器下发的白名单和拦截方式的配置信息对目标网页加载资源的情况进行监控。当终端上安装的浏览器监控到目标网页有加载非白名单内的待新增域名对应的资源时,浏览器可以对待新增域名在加载信息进行记录。加载信息包括但不限于待新增域名的域名地址,待新增域名对应的资源在目标网页上的加载次数和时间,还可以包括待新增域名对应资源的分类信息等等。终端上安装的浏览器对待新增域名对应的资源在目标网页上的加载信息进行记录后,可以将记录的加载信息上传至指定接口,通过服务器上的制定数据库对这部分加载信息进行备份保存,以备后续的统计分析,从而可以进一步的对已经制定的内容安全策略进行调整和更新。
在一个实施例中,在将加载信息上传至指定接口进行备份保存之后,还包括:根据加载信息对待新增域名进行分类;根据分类信息对待新增域名进行筛选,将与业务相关的待新增域名添加至白名单。
终端上的浏览器将加载信息上传至指定接口进行备份保存之后,服务器可以根据加载信息对待新增域名进行分类,从而可以根据分类信息对待新增域名进行筛选。比如服务器根据记录的加载信息将多个待新增域名按照域名所对应的公司进行分类,如阿里,腾讯,百度等,也可以将多个待新增域名按照域名对应的资源进行分类,比如图片,广告网页,下载链接等等。在服务器根据加载信息对待新增域名进行了分类后,则可以根据分类信息对待新增域名进行筛选,还可以结合人工筛选,可以更有效的对待新增域名进行筛选,从而可以好更有效率的将与业务相关的待新增域名添加至白名单,被加入至白名单的待新增域名对应的资源则不会被拦截,则可以正常在目标网页上加载显示,即不会影响到业务的正常运行。
应该理解的是,虽然图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图3所示,提供了一种资源拦截处理装置,包括:白名单模块模块、本地配置模块和拦截监控模块,其中:
白名单模块301,用于获取业务待加载资源对应的业务域名,将业务域名加入白名单。
本地配置模块302,用于对业务对应的目标网页的拦截方式进行本地配置,将白名单中的业务域名作为目标网页对应头部标签的内容属性值;当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器。
拦截监控模块303,用于通过服务器将白名单和拦截方式的配置信息同步至在线服务;根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录。
在一个实施例中,上述装置还包括记录存储模块(图中未示出),用于当监控到目标网页有加载非白名单内的待新增域名对应的资源时,对待新增域名在加载信息进行记录;将加载信息上传至指定接口进行备份保存。
在一个实施例中,上述拦截监控模块303还用于根据加载信息对待新增域名进行分类;根据分类信息对待新增域名进行筛选,将与业务相关的待新增域名添加至白名单。
在一个实施例中,上述拦截监控模块303还用于获取拦截次数超过预设阈值的待新增域名,将超过预设阈值的待新增域名加入至黑名单;阻止目标网页加载黑名单中的域名对应的资源。
在一个实施例中,上述本地配置模块302还用于将拦截方式设置为非直接阻止,验证白名单中的域名对应的资源是否能够成功访问;当白名单中的域名对应的资源成功访问时,将拦截方式设置为直接阻止;当白名单中的域名对应的资源能够成功访问时,确定拦截方式的配置生效。
在一个实施例中,上述本地配置模块302还用于当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器,包括:当拦截方式为直接阻止时,若目标网页无法加载非白名单内的域名对应的资源时,确定直接阻止的拦截方式生效;当拦截方式为非直接阻止时,若目标网页正常加载白名单内的域名对应的资源时,确定非直接阻止的拦截方式生效。
关于资源拦截处理装置的具体限定可以参见上文中对于资源拦截处理方法的限定,在此不再赘述。上述资源拦截处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储拦截方式的配置信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种资源拦截处理方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:获取业务待加载资源对应的业务域名,将业务域名加入白名单;对业务对应的目标网页的拦截方式进行本地配置,将白名单中的业务域名作为目标网页对应头部标签的内容属性值;当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器;通过服务器将白名单和拦截方式的配置信息同步至在线服务;根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当监控到目标网页有加载非白名单内的待新增域名对应的资源时,对待新增域名在加载信息进行记录;将加载信息上传至指定接口进行备份保存。
在一个实施例中,在将加载信息上传至指定接口进行备份保存之后,处理器执行计算机程序时还实现以下步骤:根据加载信息对待新增域名进行分类;根据分类信息对待新增域名进行筛选,将与业务相关的待新增域名添加至白名单。
在一个实施例中,当拦截方式为非直接阻止时,在根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录之后,处理器执行计算机程序时还实现以下步骤:获取拦截次数超过预设阈值的待新增域名,将超过预设阈值的待新增域名加入至黑名单;阻止目标网页加载黑名单中的域名对应的资源。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:将拦截方式设置为非直接阻止,验证白名单中的域名对应的资源是否能够成功访问;当白名单中的域名对应的资源成功访问时,将拦截方式设置为直接阻止;当白名单中的域名对应的资源能够成功访问时,确定拦截方式的配置生效。
在一个实施例中,当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器,包括:当拦截方式为直接阻止时,若目标网页无法加载非白名单内的域名对应的资源时,确定直接阻止的拦截方式生效;当拦截方式为非直接阻止时,若目标网页正常加载白名单内的域名对应的资源时,确定非直接阻止的拦截方式生效。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:获取业务待加载资源对应的业务域名,将业务域名加入白名单;对业务对应的目标网页的拦截方式进行本地配置,将白名单中的业务域名作为目标网页对应头部标签的内容属性值;当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器;通过服务器将白名单和拦截方式的配置信息同步至在线服务;根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当监控到目标网页有加载非白名单内的待新增域名对应的资源时,对待新增域名在加载信息进行记录;将加载信息上传至指定接口进行备份保存。
在一个实施例中,在将加载信息上传至指定接口进行备份保存之后,计算机程序被处理器执行时还实现以下步骤:根据加载信息对待新增域名进行分类;根据分类信息对待新增域名进行筛选,将与业务相关的待新增域名添加至白名单。
在一个实施例中,当拦截方式为非直接阻止时,在根据拦截方式的配置信息对在线服务资源加载的信息进行追踪记录之后,计算机程序被处理器执行时还实现以下步骤:获取拦截次数超过预设阈值的待新增域名,将超过预设阈值的待新增域名加入至黑名单;阻止目标网页加载黑名单中的域名对应的资源。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:将拦截方式设置为非直接阻止,验证白名单中的域名对应的资源是否能够成功访问;当白名单中的域名对应的资源成功访问时,将拦截方式设置为直接阻止;当白名单中的域名对应的资源能够成功访问时,确定拦截方式的配置生效。
在一个实施例中,当验证拦截方式的本地配置生效时,将拦截方式的配置信息上传至服务器,包括:当拦截方式为直接阻止时,若目标网页无法加载非白名单内的域名对应的资源时,确定直接阻止的拦截方式生效;当拦截方式为非直接阻止时,若目标网页正常加载白名单内的域名对应的资源时,确定非直接阻止的拦截方式生效。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种资源拦截处理方法,所述方法包括:
获取业务待加载资源对应的业务域名,将所述业务域名加入白名单;
对业务对应的目标网页的拦截方式进行本地配置,将所述白名单中的业务域名作为所述目标网页对应头部标签的内容属性值;
当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器;
通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务;
根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当监控到所述目标网页有加载非白名单内的待新增域名对应的资源时,对所述待新增域名在加载信息进行记录;
将所述加载信息上传至指定接口进行备份保存。
3.根据权利要求2所述的方法,其特征在于,在所述将所述加载信息上传至指定接口进行备份保存之后,还包括:
根据所述加载信息对所述待新增域名进行分类;
根据分类信息对所述待新增域名进行筛选,将与所述业务相关的待新增域名添加至所述白名单。
4.根据权利要求1所述的方法,其特征在于,当所述拦截方式为非直接阻止时,在所述根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录之后,还包括:
获取拦截次数超过预设阈值的待新增域名,将所述超过预设阈值的待新增域名加入至黑名单;
阻止所述目标网页加载所述黑名单中的域名对应的资源。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述拦截方式设置为非直接阻止,验证所述白名单中的域名对应的资源是否能够成功访问;
当所述白名单中的域名对应的资源成功访问时,将所述拦截方式设置为直接阻止;
当所述白名单中的域名对应的资源能够成功访问时,确定所述拦截方式的配置生效。
6.根据权利要求1所述的方法,其特征在于,当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器,包括:
当所述拦截方式为直接阻止时,若所述目标网页无法加载非白名单内的域名对应的资源时,确定所述直接阻止的拦截方式生效;
当所述拦截方式为非直接阻止时,若所述目标网页正常加载所述白名单内的域名对应的资源时,确定所述非直接阻止的拦截方式生效。
7.一种资源拦截处理装置,其特征在于,所述装置包括:
白名单模块,用于获取业务待加载资源对应的业务域名,将所述业务域名加入白名单;
本地配置模块,用于对业务对应的目标网页的拦截方式进行本地配置,将所述白名单中的业务域名作为所述目标网页对应头部标签的内容属性值;当验证所述拦截方式的本地配置生效时,将所述拦截方式的配置信息上传至服务器;
拦截监控模块,用于通过所述服务器将所述白名单和所述拦截方式的配置信息同步至在线服务;根据所述拦截方式的配置信息对所述在线服务资源加载的信息进行追踪记录。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括记录存储模块,用于当监控到所述目标网页有加载非白名单内的待新增域名对应的资源时,对所述待新增域名在加载信息进行记录;将所述加载信息上传至指定接口进行备份保存。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910586218.2A CN110336812A (zh) | 2019-07-03 | 2019-07-03 | 资源拦截处理方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910586218.2A CN110336812A (zh) | 2019-07-03 | 2019-07-03 | 资源拦截处理方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110336812A true CN110336812A (zh) | 2019-10-15 |
Family
ID=68142984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910586218.2A Pending CN110336812A (zh) | 2019-07-03 | 2019-07-03 | 资源拦截处理方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110336812A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511525A (zh) * | 2020-11-24 | 2021-03-16 | 山西三友和智慧信息技术股份有限公司 | 一种网站恶意第三方内容检测方法及系统 |
| CN114465812A (zh) * | 2022-03-08 | 2022-05-10 | 中国工商银行股份有限公司 | 一种压测流量控制方法及装置 |
| CN114980115A (zh) * | 2021-08-10 | 2022-08-30 | 中移互联网有限公司 | 消息链接安全管控的方法及系统 |
| CN115225394A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种基于域名的报文拦截方法及系统 |
| CN117579383A (zh) * | 2024-01-15 | 2024-02-20 | 杭州优云科技股份有限公司 | 一种主动http响应的检测及拦截方法、装置及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140026081A1 (en) * | 2011-03-07 | 2014-01-23 | Celbrus Technologies Limited | Controlling web page behaviour |
| CN103561036A (zh) * | 2013-11-12 | 2014-02-05 | 深信服网络科技(深圳)有限公司 | 白名单上网环境下的请求拦截方法及装置 |
| CN104618176A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站安全检测方法及装置 |
| WO2016041846A1 (en) * | 2014-09-17 | 2016-03-24 | British Telecommunications Public Limited Company | Content delivery network |
| CN108650257A (zh) * | 2018-05-09 | 2018-10-12 | 腾讯音乐娱乐科技(深圳)有限公司 | 基于网站内容的安全检测设置方法、装置及存储介质 |
| CN108809892A (zh) * | 2017-04-27 | 2018-11-13 | 贵州白山云科技有限公司 | 一种ip白名单生成方法和装置 |
-
2019
- 2019-07-03 CN CN201910586218.2A patent/CN110336812A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140026081A1 (en) * | 2011-03-07 | 2014-01-23 | Celbrus Technologies Limited | Controlling web page behaviour |
| CN103561036A (zh) * | 2013-11-12 | 2014-02-05 | 深信服网络科技(深圳)有限公司 | 白名单上网环境下的请求拦截方法及装置 |
| WO2016041846A1 (en) * | 2014-09-17 | 2016-03-24 | British Telecommunications Public Limited Company | Content delivery network |
| CN104618176A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站安全检测方法及装置 |
| CN108809892A (zh) * | 2017-04-27 | 2018-11-13 | 贵州白山云科技有限公司 | 一种ip白名单生成方法和装置 |
| CN108650257A (zh) * | 2018-05-09 | 2018-10-12 | 腾讯音乐娱乐科技(深圳)有限公司 | 基于网站内容的安全检测设置方法、装置及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511525A (zh) * | 2020-11-24 | 2021-03-16 | 山西三友和智慧信息技术股份有限公司 | 一种网站恶意第三方内容检测方法及系统 |
| CN114980115A (zh) * | 2021-08-10 | 2022-08-30 | 中移互联网有限公司 | 消息链接安全管控的方法及系统 |
| CN114980115B (zh) * | 2021-08-10 | 2023-09-01 | 中移互联网有限公司 | 消息链接安全管控的方法及系统 |
| CN114465812A (zh) * | 2022-03-08 | 2022-05-10 | 中国工商银行股份有限公司 | 一种压测流量控制方法及装置 |
| CN114465812B (zh) * | 2022-03-08 | 2023-12-29 | 中国工商银行股份有限公司 | 一种压测流量控制方法及装置 |
| CN115225394A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种基于域名的报文拦截方法及系统 |
| CN117579383A (zh) * | 2024-01-15 | 2024-02-20 | 杭州优云科技股份有限公司 | 一种主动http响应的检测及拦截方法、装置及设备 |
| CN117579383B (zh) * | 2024-01-15 | 2024-03-22 | 杭州优云科技股份有限公司 | 一种主动http响应的检测及拦截方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110336812A (zh) | 资源拦截处理方法、装置、计算机设备和存储介质 | |
| US9712560B2 (en) | Web page and web browser protection against malicious injections | |
| Shar et al. | Automated removal of cross site scripting vulnerabilities in web applications | |
| Kirda et al. | Client-side cross-site scripting protection | |
| Ntantogian et al. | Evaluating the privacy of Android mobile applications under forensic analysis | |
| US20180198807A1 (en) | Client-side attack detection in web applications | |
| US20110214182A1 (en) | Methods for proactively securing a web application and apparatuses thereof | |
| US20070107057A1 (en) | Method and apparatus for detecting and preventing unsafe behavior of javascript programs | |
| US20200026846A1 (en) | System and method for authenticating safe software | |
| Heiderich et al. | Iceshield: Detection and mitigation of malicious websites with a frozen dom | |
| DE202014010889U1 (de) | Vorrangige statische gehostete Webanwendungen | |
| CN102467628A (zh) | 一种基于浏览器内核拦截技术的数据保护方法 | |
| Khodayari et al. | The state of the samesite: Studying the usage, effectiveness, and adequacy of samesite cookies | |
| CN103152323A (zh) | 控制客户端网络访问行为的方法及系统 | |
| EP3518135B1 (en) | Protection against third party javascript vulnerabilities | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| Mitropoulos et al. | How to train your browser: Preventing XSS attacks using contextual script fingerprints | |
| US12074903B2 (en) | Passive detection of digital skimming attacks | |
| Kaur et al. | Browser fingerprinting as user tracking technology | |
| Weissbacher et al. | {ZigZag}: Automatically Hardening Web Applications Against Client-side Validation Vulnerabilities | |
| CN114467282A (zh) | 使用运行时脚本执行事件的行为分析检测和防止恶意脚本攻击 | |
| US20130074160A1 (en) | Method of controlling information processing system, computer-readable recording medium storing program for controlling apparatus | |
| Hausknecht et al. | May i?-content security policy endorsement for browser extensions | |
| CN113469866A (zh) | 数据处理方法、装置和服务器 | |
| CN106789869B (zh) | 基于Basic认证的流量代理漏洞检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191015 |