针对JSP的基于静态分析与动态过滤的XSS攻击的防范设计
跨站脚本(XSS)攻击已成为当下web安全面临的主要问题之一.为防范这种攻击,出现了许多防范机制,但是这些防范机制都有其局限性.本文提出了一种基于静态分析与动态过滤相结合的混合防范机制,在客户端与服务器端对用户输入与请求进行基于黑白名单模式的验证与过滤,同时针对JSP页面动态内容进行标记与特征提取,通过Nginx代理服务器对respond返回页面与原始JSP页面进行特征比对,以此来检测和防止JSP动态内容产生有害的攻击信息.上述机制能有效防御已知的XSS攻击,同时对于JSP中的动态内容能进行有效的检测和监控.
网络安全 跨站脚本攻击 静态分析 动态过滤
李冬萌 徐国胜 黄欣
北京邮电大学信息安全中心,北京,100876 合肥荣事达三洋电器股份有限公司,合肥
国内会议
厦门
中文
144-151
2013-11-30(万方平台首次上网日期,不代表论文的发表时间)