基于分隔符的跨站脚本攻击防御方法

张慧琳^1,2, 李冠成¹, 丁羽¹, 段镭¹, 韩心慧^1,†, 肖建国¹

1. 北京大学计算机科学技术研究所, 北京100871
2. 国家计算机网络应急技术处理协调中心, 北京100029

收稿日期:2017-02-08修回日期:2017-03-01出版日期:2018-03-20

基金资助:国家发展和改革委员会2011年信息安全专项《信息系统个人信息保护标准体系建设及关键标准研究验证》资助

Cross Site Script Prevention Based on Delimiters

ZHANG Huilin^1,2, LI Guancheng¹, DING Yu¹, DUAN Lei¹, HAN Xinhui^1,†, XIAO Jianguo¹

1. Institute of Computer Science and Technology, Peking University, Beijing 100871
2. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029

Received:2017-02-08Revised:2017-03-01Published:2018-03-20

PDF

(529KB)

可视化

0

复制本文网址

1. 探讨2016版国际胰瘘研究小组定义和分级系统对胰腺术后患者胰瘘分级的影响.PDF(500KB)

-->

摘要/Abstract

摘要： 通过分析跨站脚本攻击的特性, 提出一种基于分隔符的跨站脚本攻击防御方法, 该方法适用于UTF-8编码的Web应用程序。首先, 仅对可信数据中的分隔符进行积极污点标记; 然后, 利用字符UTF-8编码值的转换轻量级完成污点标记, 该污点信息可随着字符串操作直接传播到结果页面; 最后, 根据结果页面中分隔符的污点信息及页面上下文分析, 检查脚本执行节点的合法性和脚本内容的可靠性, 精确地检测并防御跨站脚本攻击。针对PHP平台实现了原型系统XSSCleaner。实验证明, XSSCleaner可轻量级地完成污点分析, 并且能够对跨站脚本攻击进行精确防御, 页面生成的时间开销平均为12.9%。
中图分类号:
-->TP393

引用本文

张慧琳, 李冠成, 丁羽, 段镭, 韩心慧, 肖建国. 基于分隔符的跨站脚本攻击防御方法[J]. 北京大学学报（自然科学版）, 2018, 54(2): 320-330.
ZHANG Huilin, LI Guancheng, DING Yu, DUAN Lei, HAN Xinhui, XIAO Jianguo. Cross Site Script Prevention Based on Delimiters[J]. Acta Scientiarum Naturalium Universitatis Pekinensis, 2018, 54(2): 320-330.





PDF全文下载地址:

http://xbna.pku.edu.cn/CN/article/downloadArticleFile.do?attachType=PDF&id=3187