存储型xss攻击的阻断方法、装置、电子设备和存储介质与流程-j9九游会真人

存储型xss攻击的阻断方法、装置、电子设备和存储介质
技术领域
1.本技术涉及计算机技术领域，具体而言，涉及一种存储型xss攻击的阻断方法、装置、电子设备和存储介质。


背景技术：

2.xss攻击是web攻击中常见的攻击方式之一，它是通过对网页注入可执行代码且被浏览器成功执行，以达到攻击的目的。特点是xss攻击是通过网站暴露的用户输入框进行恶意代码植入的，源头是服务器端过于信任客户端提交的数据，直接将其存储在服务器中。执行脚本的核心代码是使用了innerhtml进行页面脚本的填充。如：盗取用户cookie、强制弹出广告页面或重定向到其它网站等。
3.在现有后台管理系统中，存在较多表单和富文本提交的场景。这就会造成在提交数据时，会有录入可执行脚本从而进行恶意攻击的可能。当然，也会存在绕过客户端直接对接口进行数据交互操作。
4.具体表现是通过富文本录入数据时，嵌入绑定事件的标签，再把数据提交至后台，当再次编辑或回显时，就会渲染一次标签并执行一次绑定事件，造成一次漏洞攻击。


技术实现要素：

5.本技术实施例的目的在于提供一种存储型xss攻击的阻断方法、装置、电子设备和存储介质，用以阻断xss攻击，以提高系统的安全性，降低系统被攻击的风险。
6.第一方面，本发明提供一种存储型xss攻击的阻断方法，所述方法应用于服务端包括：
7.接收设置指令，并基于所述设置指令设置cookie的http-only属性，其中，所述http-only属性用于使所述cookie无法被js脚本读取；
8.当接收到客户端提交的目标数据，对所述目标数据进行转译后再将所述目标数据存储到数据库，其中，所述对所述目标数据进行转译包括过滤所述目标数据中的特殊符号。
9.在本技术第一方面中，通过接收设置指令，进而能够基于所述设置指令设置cookie的http-only属性，其中，通过所述http-only属性可使所述cookie无法被js脚本读取。另一方面，当接收到客户端提交的目标数据，可对所述目标数据进行转译后再将所述目标数据存储到数据库，其中，所述对所述目标数据进行转译包括过滤所述目标数据中的特殊符号。
10.与现有技术相比，本技术通过http-only属性可使所述cookie无法被js脚本读取，这样一来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对所述目标数据进行转译，能够过滤所述目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
11.第二方面，本发明提供一种存储型xss攻击的阻断方法，所述方法应用于客户端，
所述方法包括：
12.当检测到用户触发针对目标表单或富文本的提交指令时，对所述目标表单的html标签或所述富文本的html标签进行转译或反转译，得到处理后的html标签；
13.识别所述处理后的html标签中的img标签、iframe标签和a标签；
14.将所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理。
15.在本技术中，当检测到用户触发针对目标表单或富文本的提交指令时，通过对所述目标表单的html标签或所述富文本的html标签进行转译或反转译，进而能够得到处理后的html标签，进而通过识别所述处理后的html标签中的img标签、iframe标签和a标签，能够将所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理。
16.与现有相比，本技术通过对所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
17.在可选的实施方式中，所述方法还包括：
18.当检测到所述用户在所述目标表单的输入框输入内容时，判断所述输入内容是否包括第一预设字符，若所述输入内容包括所述第一预设字符时，设置输入提示框的textcontent属性，以通过所述输入提示框展示提示信息，其中，所述提示信息用于提示所述用户删除和禁止输入所述第一预设字符。
19.在上述可选的实施方式中，通过提示信息，可提示所述用户删除和禁止输入所述第一预设字符，进而能够防止攻击者通过第一预设字符注入恶意代码，从而防止攻击者对系统发起攻击。
20.在可选的实施方式中，所述方法还包括：
21.判断所述目标表单或所述富文本是否包括关键字javascript，如果所述目标表单或所述富文本包括所述关键字javascript，则将所述目标表单中的所述关键字javascript删除，或将所述富文本中的所述关键字javascript删除。
22.在上述可选的实施方式中，通过判断所述目标表单或所述富文本是否包括关键字javascript，进而能够在所述目标表单或所述富文本包括所述关键字javascript时，将所述目标表单中的所述关键字javascript删除，或将所述富文本中的所述关键字javascript删除，进而能够防止攻击者在目标表单或所述富文本中插入js脚本，从而防止攻击者通过js脚本对系统发起攻击。
23.第三方面，本发明提供一种存储型xss攻击的阻断装置，所述装置应用于服务端包括：
24.接收模块，用于接收设置指令，并基于所述设置指令设置cookie的http-only属
性，其中，所述http-only属性用于使所述cookie无法被js脚本读取；
25.第一数据处理模块，用于当接收到客户端提交的目标数据，对所述目标数据进行转译后再将所述目标数据存储到数据库，其中，所述对所述目标数据进行转译包括过滤所述目标数据中的特殊符号。
26.本技术第三方面的装置通过执行存储型xss攻击的阻断方法，能够接收设置指令，进而能够基于所述设置指令设置cookie的http-only属性，其中，通过所述http-only属性可使所述cookie无法被js脚本读取。另一方面，当接收到客户端提交的目标数据，可对所述目标数据进行转译后再将所述目标数据存储到数据库，其中，所述对所述目标数据进行转译包括过滤所述目标数据中的特殊符号。
27.与现有技术相比，本技术通过http-only属性可使所述cookie无法被js脚本读取，这样一来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对所述目标数据进行转译，能够过滤所述目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
28.第四方面，本发明提供一种存储型xss攻击的阻断装置，所述装置应用于客户端，所述装置包括：
29.第二数据处理模块，用于当检测到用户触发针对目标表单或富文本的提交指令时，对所述目标表单的html标签或所述富文本的html标签进行转译或反转译，得到处理后的html标签；
30.识别模块，用于识别所述处理后的html标签中的img标签、iframe标签和a标签；
31.第三数据处理模块，用于将所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理。
32.本技术第四方面的装置通过执行存储型xss攻击的阻断方法，进而能够在检测到用户触发针对目标表单或富文本的提交指令时，通过对所述目标表单的html标签或所述富文本的html标签进行转译或反转译，进而能够得到处理后的html标签，进而通过识别所述处理后的html标签中的img标签、iframe标签和a标签，能够将所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理。
33.与现有相比，本技术通过对所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
34.在可选的实施方式中，所述装置还包括：
35.第一判断模块，用于当检测到所述用户在所述目标表单的输入框输入内容时，判断所述输入内容是否包括第一预设字符，若所述输入内容包括所述第一预设字符时，设置输入提示框的textcontent属性，以通过所述输入提示框展示提示信息，其中，所述提示信
息用于提示所述用户删除和禁止输入所述第一预设字符。
36.在上述可选的实施方式中，通过提示信息，可提示所述用户删除和禁止输入所述第一预设字符，进而能够防止攻击者通过第一预设字符注入恶意代码，从而防止攻击者对系统发起攻击。
37.在可选的实施方式中，所述装置还包括：
38.第二判断模块，用于判断所述目标表单或所述富文本是否包括关键字javascript，如果所述目标表单或所述富文本包括所述关键字javascript，则将所述目标表单中的所述关键字javascript删除，或将所述富文本中的所述关键字javascript删除。
39.在上述可选的实施方式中，通过判断所述目标表单或所述富文本是否包括关键字javascript，进而能够在所述目标表单或所述富文本包括所述关键字javascript时，将所述目标表单中的所述关键字javascript删除，或将所述富文本中的所述关键字javascript删除，进而能够防止攻击者在目标表单或所述富文本中插入js脚本，从而防止攻击者通过js脚本对系统发起攻击。
40.第五方面，本发明提供一种电子设备，包括：
41.处理器；以及
42.存储器，配置用于存储机器可读指令，所述指令在由所述处理器执行时，执行如前述实施方式任一项所述的存储型xss攻击方法。
43.本技术第五方面的电子设备通过执行存储型xss攻击方法，进而能够对所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
44.另一方面，本技术通过http-only属性可使所述cookie无法被js脚本读取，这样一来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对所述目标数据进行转译，能够过滤所述目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
45.第六方面，本发明提供一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行如前述实施方式任一项所述的存储型xss攻击方法。
46.本技术第六方面的存储介质通过执行存储型xss攻击方法，进而能够对所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过所述img标签的src属性、所述img标签的onerror事件、所述iframe标签的src属性、所述iframe标签的onerror事件、所述a标签的onclick事件和所述a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
47.另一方面，本技术通过http-only属性可使所述cookie无法被js脚本读取，这样一
来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对所述目标数据进行转译，能够过滤所述目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
附图说明
48.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
49.图1是本技术实施例一公开的一种存储型xss攻击的阻断方法的流程示意图；
50.图2是本技术实施例二公开的一种存储型xss攻击的阻断方法的流程示意图；
51.图3是本技术实施例提供的一种对html标签进行转译示意图；
52.图4是本技术实施例三公开的一种存储型xss攻击的阻断装置的结构示意图；
53.图5是本技术实施例四公开的一种存储型xss攻击的阻断装置的结构示意图；
54.图6是本技术实施例五公开的一种电子设备的结构示意图。
具体实施方式
55.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
56.实施例一
57.请参阅图1，图1是本技术实施例公开的一种存储型xss攻击的阻断方法的流程示意图，其中，该方法应用于服务端。如图1所示，本技术实施例的方法包括以下步骤：
58.101、接收设置指令，并基于设置指令设置cookie的http-only属性，其中，http-only属性用于使cookie无法被js脚本读取；
59.102、当接收到客户端提交的目标数据，对目标数据进行转译后再将目标数据存储到数据库，其中，对目标数据进行转译包括过滤目标数据中的特殊符号。
60.在本技术实施例中，通过接收设置指令，进而能够基于设置指令设置cookie的http-only属性，其中，通过http-only属性可使cookie无法被js脚本读取。另一方面，当接收到客户端提交的目标数据，可对目标数据进行转译后再将目标数据存储到数据库，其中，对目标数据进行转译包括过滤目标数据中的特殊符号。
61.与现有技术相比，本技术实施例通过http-only属性可使cookie无法被js脚本读取，这样一来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对目标数据进行转译，能够过滤目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
62.在本技术实施例中，目标数据是指客户端获取用户在输入框中输入的内容而生成的表单数据。
63.在本技术实施例中，目标数据中的特殊符号可以是
“‘
`《》
’”
，其中，在一些场景中，攻击者该特殊符号注入恶意代码，因此，通过过滤该特殊符号可防止攻击者通过特殊符号
注入恶意代码。
64.在本技术实施例中，服务端中的cookie可通过session形式保存。
65.在本技术实施例中，针对一些场景，攻击者可通过cookie的值发起恶意攻击，例如，通过cookie获取用户的登录信息，从而基于登录信息发起攻击，本技术实施例通过防止攻击者获取cookie的值，可防止攻击者基于登录信息发起攻击。
66.实施例二
67.请参阅图2，图2是本技术实施例公开的一种存储型xss攻击方法的流程示意图，其中，该方法应用于客户端。如图2所示，本技术实施例的方法包括以下功能步骤：
68.201、当检测到用户触发针对目标表单或富文本的提交指令时，对目标表单的html标签或富文本的html标签进行转译或反转译，得到处理后的html标签；
69.202、识别处理后的html标签中的img标签、iframe标签和a标签；
70.203、将img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理。
71.在本技术实施例中，当检测到用户触发针对目标表单或富文本的提交指令时，通过对目标表单的html标签或富文本的html标签进行转译或反转译，进而能够得到处理后的html标签，进而通过识别处理后的html标签中的img标签、iframe标签和a标签，能够将img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理。
72.与现有相比，本技术实施例通过对img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
73.在本技术实施例中，关于对html标签进行转译和反转译，请参阅图3，。其中，对html标签的反转译参考对html标签的转译。
74.在本技术实施例中，作为一种可选的实施方式，本技术实施例的还包括以下步骤：
75.当检测到用户在目标表单的输入框输入内容时，判断输入内容是否包括第一预设字符，若输入内容包括第一预设字符时，设置输入提示框的textcontent属性，以通过输入提示框展示提示信息，其中，提示信息用于提示用户删除和禁止输入第一预设字符。
76.在上述可选的实施方式中，通过提示信息，可提示用户删除和禁止输入第一预设字符，进而能够防止攻击者通过第一预设字符注入恶意代码，从而防止攻击者对系统发起攻击。
77.在本技术实施例中，作为一种可选的实施方式，本技术实施例的方法还包括以下步骤：
78.判断目标表单或富文本是否包括关键字javascript，如果目标表单或富文本包括关键字javascript，则将目标表单中的关键字javascript删除，或将富文本中的关键字javascript删除。
79.在上述可选的实施方式中，通过判断目标表单或富文本是否包括关键字javascript，进而能够在目标表单或富文本包括关键字javascript时，将目标表单中的关键字javascript删除，或将富文本中的关键字javascript删除，进而能够防止攻击者在目标表单或富文本中插入js脚本，从而防止攻击者通过js脚本对系统发起攻击。
80.需要说明的是，关键字javascript用于关联js脚本。
81.实施例三
82.请参阅图4，图4是本技术实施例提供的一种存储型xss攻击的阻断装置的结构示意图，其中，存储型xss攻击的阻断装置应用于服务端。如图4所示，本技术实施例的装置包括以下功能模块：
83.接收模块301，用于接收设置指令，并基于设置指令设置cookie的http-only属性，其中，http-only属性用于使cookie无法被js脚本读取；
84.第一数据处理模块302，用于当接收到客户端提交的目标数据，对目标数据进行转译后再将目标数据存储到数据库，其中，对目标数据进行转译包括过滤目标数据中的特殊符号。
85.本技术实施例的装置通过执行存储型xss攻击的阻断方法，能够接收设置指令，进而能够基于设置指令设置cookie的http-only属性，其中，通过http-only属性可使cookie无法被js脚本读取。另一方面，当接收到客户端提交的目标数据，可对目标数据进行转译后再将目标数据存储到数据库，其中，对目标数据进行转译包括过滤目标数据中的特殊符号。
86.与现有技术相比，本技术实施例通过http-only属性可使cookie无法被js脚本读取，这样一来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对目标数据进行转译，能够过滤目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
87.需要说明的是，关于本技术实施例的装置的其他详细说明，请参阅本技术实施例一的相关说明，本技术实施例对此不作赘述。
88.实施例四
89.请参阅图5，图5是本技术实施例提供的一种存储型xss攻击的阻断装置的结构示意图，其中，改存储型xss攻击的阻断装置应用于服务端。如图5所示，本技术实施例的装置包括以下功能模块：
90.第二数据处理模块401，用于当检测到用户触发针对目标表单或富文本的提交指令时，对目标表单的html标签或富文本的html标签进行转译或反转译，得到处理后的html标签；
91.识别模块402，用于识别处理后的html标签中的img标签、iframe标签和a标签；
92.第三数据处理模块403，用于将img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理。
93.本技术实施例的装置通过执行存储型xss攻击的阻断方法，进而能够在检测到用户触发针对目标表单或富文本的提交指令时，通过对目标表单的html标签或富文本的html标签进行转译或反转译，进而能够得到处理后的html标签，进而通过识别处理后的html标
签中的img标签、iframe标签和a标签，能够将img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理。
94.与现有相比，本技术实施例通过对img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
95.在本技术实施例中，作为一种可选的实施方式，本技术实施例的装置还包括以下功能模块：
96.第一判断模块，用于当检测到用户在目标表单的输入框输入内容时，判断输入内容是否包括第一预设字符，若输入内容包括第一预设字符时，设置输入提示框的textcontent属性，以通过输入提示框展示提示信息，其中，提示信息用于提示用户删除和禁止输入第一预设字符。
97.在上述可选的实施方式中，通过提示信息，可提示用户删除和禁止输入第一预设字符，进而能够防止攻击者通过第一预设字符注入恶意代码，从而防止攻击者对系统发起攻击。
98.在本技术实施例中，作为一种可选的实施方式，本技术实施例的装置还包括以下功能模块：
99.第二判断模块，用于判断目标表单或富文本是否包括关键字javascript，如果目标表单或富文本包括关键字javascript，则将目标表单中的关键字javascript删除，或将富文本中的关键字javascript删除。
100.在上述可选的实施方式中，通过判断目标表单或富文本是否包括关键字javascript，进而能够在目标表单或富文本包括关键字javascript时，将目标表单中的关键字javascript删除，或将富文本中的关键字javascript删除，进而能够防止攻击者在目标表单或富文本中插入js脚本，从而防止攻击者通过js脚本对系统发起攻击。
101.实施例五
102.请参阅图6，图6是本技术实施例公开的一种电子设备的结构示意图，如图6所示，本技术实施例的电子设备包括：
103.处理器501；以及
104.存储器502，配置用于存储机器可读指令，指令在由处理器501执行时，执行如前述实施方式任一项的存储型xss攻击方法。
105.本技术实施例的电子设备通过执行存储型xss攻击方法，进而能够对img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
106.另一方面，本技术实施例通过http-only属性可使cookie无法被js脚本读取，这样一来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对目标数据进行转译，能够过滤目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
107.实施例六
108.第六方面，本技术实施例提供一种存储介质，存储介质存储有计算机程序，计算机程序被处理器执行如前述实施方式任一项的存储型xss攻击方法。
109.本技术实施例的存储介质通过执行存储型xss攻击方法，进而能够对img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件进行黑名单处理，能够防止攻击者通过img标签的src属性、img标签的onerror事件、iframe标签的src属性、iframe标签的onerror事件、a标签的onclick事件和a标签的onmouseover事件，注入恶意代码，从而能够防止攻击者对系统发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
110.另一方面，本技术实施例通过http-only属性可使cookie无法被js脚本读取，这样一来，攻击者就无法通过恶意js脚本获取cookie的值，从而能够防止攻击者基于获取到的cookie的值对系统发起攻击。另一方面，本技术通过对目标数据进行转译，能够过滤目标数据中的特殊符号，进而能够防止攻击者基于特殊符号对系统法发起攻击，最终提高系统的安全性，降低系统被攻击的风险。
111.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
112.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
113.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
114.需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
115.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另
一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
116.以上仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。