(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114168950A(43)申请公布日2022.03.11(21)申请号202210127359.X(22)申请日2022.02.11(71)申请人北京仁科互动网络技术有限公司地址100022北京市朝阳区建外大街甲6号SK大厦8层(72)发明人赵宇李哲祎张英男(74)专利代理机构北京路浩知识产权代理有限公司11002代理人孟省(51)Int.Cl.G06F21/55(2013.01)G06F21/57(2013.01)权利要求书2页说明书9页附图2页(54)发明名称一种跨站脚本攻击漏洞的修复方法、装置、设备及产品(57)摘要本发明提供一种跨站脚本攻击漏洞的修复方法、装置、设备及产品，涉及网络安全技术领域，该方法包括以下步骤：将待修复的网页中的内容拆分并转换成超文本标记语言元素；其中，所述待修复的网页中包含漏洞渲染结果；针对每一个被转换得到的所述超文本标记语言元素，确定其中是否包含不可信来源的数据，以及确定所述不可信来源的数据所处的上下文；基于所述上下文，生成相应的提示信息；其中，所述提示信息包含基于所述上下文，对所述不可信来源的数据进行相应的编码。本发明可以有针对性的，真正修复该跨站脚本攻击漏洞，覆盖不同的上下文情况，保证修复XSS漏洞的代码是有效的，并且在修复过程中，不会删除或变异用户输入的数据。CN114168950ACN114168950A权利要求书1/2页1.一种跨站脚本攻击漏洞的修复方法，其特征在于，包括以下步骤：将待修复的网页中的内容拆分并转换成超文本标记语言元素；其中，所述待修复的网页中包含漏洞渲染结果；针对每一个被转换得到的所述超文本标记语言元素，确定其中是否包含不可信来源的数据，以及确定所述不可信来源的数据所处的上下文；基于所述上下文，生成相应的提示信息；其中，所述提示信息包含基于所述上下文，对所述不可信来源的数据进行相应的编码。2.根据权利要求1所述的跨站脚本攻击漏洞的修复方法，其特征在于，所述将待修复的网页中的内容拆分并转换成超文本标记语言元素步骤，具体包括：通过lxml工具库，将所述待修复的网页中的内容拆分并转换成由所述超文本标记语言元素组成的所述超文本标记语言元素对象列表；其中，所述超文本标记语言元素对象列表包含至少一个所述超文本标记语言元素。3.根据权利要求1所述的跨站脚本攻击漏洞的修复方法，其特征在于，所述基于所述上下文的类型，生成相应的提示信息步骤中，所述上下文具体包括：禁止出现、非script和非style标签的正文内容、超文本标记语言标签的属性值、超文本标记语言标签的需要网页地址值的位置、超文本标记语言标签的需要网页地址值的位置中的查询字符串值、JavaScript代码的字符串值以及层叠样式表的属性值；其中，当所述不可信来源的数据位于script标签内容中时，并且所述不可信来源的数据前侧和后侧最近的非空白字符为英文半角单引号或者英文半角双引号以及前后两侧最近的两个非空白字符相同时，则所述上下文为JavaScript代码的字符串值；当所述不可信来源的数据位于style标签内容中时，并且所述不可信来源的数据前侧最近的非空白字符是英文半角冒号时，则所述上下文为层叠样式表的属性值。4.根据权利要求3所述的跨站脚本攻击漏洞的修复方法，其特征在于，所述针对每一个被转换得到的所述超文本标记语言元素，确定其中是否包含不可信来源的数据，以及确定所述不可信来源的数据所处的上下文，具体包括以下步骤：判断所述超文本标记语言元素中是否包含触发了漏洞执行的有效载荷字符串；若包含，确定所述有效载荷字符串所处的位置以及前后两侧最近的非空白字符的值；基于所述位置以及前后两侧最近的非空白字符的值，确定所述不可信来源的数据所处的上下文。5.根据权利要求4所述的跨站脚本攻击漏洞的修复方法，其特征在于，所述基于所述上下文，生成相应的提示信息，具体包括：若所述上下文为禁止出现，则生成用于提示不应将所述不可信来源的数据输出至所述上下文处的所述提示信息；若所述上下文为非script和非style标签的正文内容，则生成用于指示对所述不可信来源的数据进行超文本标记语言实体编码的提示信息；若所述上下文为超文本标记语言标签的属性值，则生成用于指示对所述不可信来源的数据进行超文本标记语言属性编码的所述提示信息；其中，所述超文本标记语言属性编码为在所述超文本标记语言实体编码的基础上，对所有的非字母和数字字符进行实体编码；若所述上下文为超文本标记语言标签的需要网页地址值的位置，则生成用于指示检查2CN114168950A权利要求书2/2页网页地址值的协议部分的所述提示信息；若所述上下文为超文本标记语言标签的需要网页地址值的位置中的查询字符串值，则生成用于指示对所述不可信来源的