一种XSS漏洞检测方法、装置、电子设备及存储介质与流程

所属的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。与上述方法实施例基于同一发明构思，本发明实施例中还提供了一种电子设备。在该实施例中，电子设备的结构可以如图7所示，该电子设备例如为前述图1中的服务器102，如图7所示，本发明实施例中的电子设备包括至少一个处理器701，以及与至少一个处理器701连接的存储器702和通信接口703，本发明实施例中不限定处理器701与存储器702之间的具体连接介质，图7中是以处理器701和存储器702之间通过系统总线700连接为例，系统总线700在图7中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。系统总线700可以分为地址总线、数据总线、控制总线等，为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。在本发明实施例中，存储器702存储有可被至少一个处理器701执行的指令，至少一个处理器701通过执行存储器702存储的指令，可以执行前述的xss漏洞检测方法中所包括的步骤。其中，处理器701是电子设备的控制中心，可以利用各种接口和线路连接整个电子设备的各个部分，通过运行或执行存储在存储器702内的指令以及调用存储在存储器702内的数据，可以实现电子设备的各种功能。可选的，处理器701可包括一个或多个处理单元，处理器701可集成应用处理器和调制解调处理器，其中，处理器701主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器701中。在一些实施例中，处理器701和存储器702可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。处理器701可以是通用处理器，例如中央处理器(cpu)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。存储器702作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器702可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random accessmemory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器702还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。通信接口703是能够用于进行通信的传输接口，可以通过通信接口703接收数据或者发送数据。此外，该电子设备还包括帮助电子设备内的各个器件之间传输信息的基本输入/输出系统(i/o系统)704、用于存储操作系统705、应用程序706和其他程序模块707的大容量存储设备708。基本输入/输出系统704包括有用于显示信息的显示器709和用于用户输入信息的诸如鼠标、键盘之类的输入设备710。其中显示器709和输入设备710都通过连接到系统总线700的基本输入/输出系统704连接到处理器701。其中，基本输入/输出系统704还可以包括输入输出控制器以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器还提供输出到显示屏、打印机或其他类型的输出设备。具体的，大容量存储设备708通过连接到系统总线700的大容量存储控制器(未示出)连接到处理器701。其中，大容量存储设备708及其相关联的计算机可读介质为该服务器包提供非易失性存储。也就是说，大容量存储设备708可以包括诸如硬盘或者cd-rom驱动器之类的计算机可读介质(未示出)。根据本发明的各种实施例，该电子设备还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即该电子设备可以通过连接在系统总线700上的通信接口703连接到网络711，或者说，也可以使用通信接口703来连接到其他类型的网络或远程计算机系统(未示出)。本发明实施例还提供一种计算机存储介质，其中，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行上述实施例xss漏洞检测方法的技术方案。本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行计算机程序时可实现上述实施例中xss漏洞检测方法的技术方案。本领域所属的技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序指令属于计算机程序，计算机程序可以存储于一计算机可读存储介质中，该计算机程序在执行时，执行包括上述方法实施例的步骤；可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。本发明的实施方式的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在计算装置上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中，远程计算装置可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户计算装置，或者，可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

背景技术：

1、跨站脚本攻击(cross-site scripting，xss)漏洞是一种在全球广域网(worldwide web，web)应用中常见的安全漏洞。

2、xss漏洞允许攻击者将恶意脚本代码植入到用户会访问到的正常web页面中。这样，当用户正常访问该页面时，可能存在由于攻击者植入的恶意脚本代码的执行，对用户的正常访问进行攻击。

3、因此，如何对xss漏洞进行检查，避免web应用中出现xss漏洞，成为亟待解决的问题。

技术实现思路

1、本发明实施例的目的是提供一种xss漏洞检测方法、装置、电子设备及存储介质，用于检测xss漏洞。

2、第一方面，本发明实施例提供了一种xss漏洞检测方法，所述方法包括：

3、对文件中包含的代码进行编译时，获取文件类型为视图类型的子文件；

4、对所述视图类型的子文件进行解析处理，获得数据类型为字符串类型的目标内容，将所述目标内容解析成多个用于指示字符的节点，并根据字符间的关系将对应的所述多个节点进行组合，获得抽象语法树；

5、根据所述抽象语法树和预设xss漏洞检测规则，确定所述代码中存在xss漏洞的目标节点；所述预设xss漏洞检测规则用于按照所述抽象语法树中节点的顺序，将所述抽象语法树中节点的属性，与预设属性信息进行比对，以筛选出存在xss漏洞的节点。

6、在一种可能的实施方式中，对文件包含的代码进行编译时，获取文件类型为视图类型的子文件，包括：

7、订阅代码编译工具webpack平台对所述文件中包含代码的编译事件；

8、当接收到所述webpack平台发送的编译事件通知消息时，调用所述webpack平台提供的接口拦截并获取文件类型为所述视图类型的子文件。

9、在一种可能的实施方式中，对文件包含的代码进行编译时，获取文件类型为视图类型的子文件，包括：

10、检测到执行xss漏洞检测的命令时，获取当前活动窗口对象；

11、从所述当前活动窗口对象中获取文档对象，所述文档对象中包括正在编辑的文件；

12、获取所述正在编辑的文件中文件类型为所述视图类型的子文件。

13、在一种可能的实施方式中，对所述视图类型的子文件进行解析处理，获得数据类型为字符串类型的目标内容，包括：

14、将所述视图类型的子文件转化为字符串类型的内容，根据正则表达式，检测所述字符串类型的内容是否存在处于指示模板起始的第一字符和指示模板结束的第二字符之间的内容；

15、如果确定所述字符串类型的内容存在处于所述第一字符和所述第二字符之间的内容，则将所述处于所述第一字符和所述第二字符之间的内容作为所述目标内容。

16、在一种可能的实施方式中，将所述目标内容解析成多个用于指示字符的节点，并根据字符间的关系将对应的所述多个节点进行组合，获得抽象语法树，包括：

17、将所述目标内容从字符串类型转换成数组类型，获得目标内容组；

18、从所述目标内容组的头部开始逐个选取字符，分别将选取的所述字符与语法规则中的预设字符进行比对，并根据比对结果，确定用于指示各个字符的节点以及每个节点对应的内部记录，以获得多个节点；其中，所述内部记录根据预设字符间的关系所确定，所述内部记录用于记录每个节点对应的节点间的父子节点关系；

19、根据所述多个节点内每个节点对应的内部记录，将所述多个节点进行组合，获得抽象语法树。

20、在一种可能的实施方式中，所述预设xss漏洞检测规则，包括：

21、若节点的属性与所述预设属性信息匹配，确定所述节点存在xss漏洞；

22、其中，所述预设属性信息为指示动态设置内容的功能属性信息；或，所述预设属性信息为指示预设绑定事件的绑定属性信息；或，所述预设属性信息为设置给固定类型的节点设置特定属性的设置属性信息。

23、在一种可能的实施方式中，确定所述代码中存在xss漏洞的目标节点后，所述方法还包括：

24、确定所述目标节点在所述视图类型的子文件中的代码位置信息；

25、输出提示信息，所述提示信息包括所述代码位置信息和所述视图类型的子文件；所述提示信息用于提示所述代码存在xss漏洞。

26、第二方面，本发明实施例提供了一种xss漏洞检测装置，所述装置包括：

27、获取单元，用于对文件中包含的代码进行编译时，获取文件类型为视图类型的子文件；

28、获得单元，用于对所述视图类型的子文件进行解析处理，获得数据类型为字符串类型的目标内容，将所述目标内容解析成多个用于指示字符的节点，并根据字符间的关系将对应的所述多个节点进行组合，获得抽象语法树；

29、确定单元，用于根据所述抽象语法树和预设xss漏洞检测规则，确定所述代码中存在xss漏洞的目标节点；所述预设xss漏洞检测规则用于按照所述抽象语法树中节点的顺序，将所述抽象语法树中节点的属性，与预设属性信息进行比对，以筛选出存在xss漏洞的节点。

30、在一种可能的实施方式中，所述获取单元，具体用于：

31、订阅代码编译工具webpack平台对所述文件中包含代码的编译事件；

32、当接收到所述webpack平台发送的编译事件通知消息时，调用所述webpack平台提供的接口拦截并获取文件类型为所述视图类型的子文件。

33、在一种可能的实施方式中，所述获取单元，具体用于：

34、检测到执行xss漏洞检测的命令时，获取当前活动窗口对象；

35、从所述当前活动窗口对象中获取文档对象，所述文档对象中包括正在编辑的文件；

36、获取所述正在编辑的文件中文件类型为所述视图类型的子文件。

37、在一种可能的实施方式中，所述获得单元，具体用于：

38、将所述视图类型的子文件转化为字符串类型的内容，根据正则表达式，检测所述字符串类型的内容是否存在处于指示模板起始的第一字符和指示模板结束的第二字符之间的内容；

39、如果确定所述字符串类型的内容存在处于所述第一字符和所述第二字符之间的内容，则将所述处于所述第一字符和所述第二字符之间的内容作为所述目标内容。

40、在一种可能的实施方式中，所述获得单元，具体用于：

41、将所述目标内容从字符串类型转换成数组类型，获得目标内容组；

42、从所述目标内容组的头部开始逐个选取字符，分别将选取的所述字符与语法规则中的预设字符进行比对，并根据比对结果，确定用于指示各个字符的节点以及每个节点对应的内部记录，以获得多个节点；其中，所述内部记录根据预设字符间的关系所确定，所述内部记录用于记录每个节点对应的节点间的父子节点关系；

43、根据所述多个节点内每个节点对应的内部记录，将所述多个节点进行组合，获得抽象语法树。

44、在一种可能的实施方式中，所述预设xss漏洞检测规则，包括：

45、若节点的属性与所述预设属性信息匹配，确定所述节点存在xss漏洞；

46、其中，所述预设属性信息为指示动态设置内容的功能属性信息；或，所述预设属性信息为指示预设绑定事件的绑定属性信息；或，所述预设属性信息为设置给固定类型的节点设置特定属性的设置属性信息。

47、在一种可能的实施方式中，所述装置还包括输出单元，用于：

48、确定所述目标节点在所述视图类型的子文件中的代码位置信息；

49、输出提示信息，所述提示信息包括所述代码位置信息和所述视图类型的子文件；所述提示信息用于提示所述代码存在xss漏洞。

50、第三方面，本发明实施例提供了一种电子设备，包括至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明第一方面实施例提供的任一方法。

51、第四方面，本发明实施例提供了一种计算机存储介质，其中，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行本发明第一方面实施例提供的任一方法。

52、第五方面，本发明实施例提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行第一方面实施例提供的任一方法。

53、本发明有益效果如下：

54、在本发明实施例中，可以在对文件中包含的代码进行编译时，获取文件类型为视图类型的子文件；对视图类型的子文件进行解析处理，获得数据类型为字符串类型的目标内容，将目标内容解析成多个用于指示字符的节点，并根据字符间的关系将对应的多个节点进行组合，获得抽象语法树；根据抽象语法树和预设xss漏洞检测规则，确定代码中存在xss漏洞的目标节点；预设xss漏洞检测规则用于按照抽象语法树中节点的顺序，将抽象语法树中节点的属性，与预设属性信息进行比对，以筛选出存在xss漏洞的节点。

55、可见，本发明实施例中提供的xss漏洞检测方法，可以在代码进行编辑的阶段检测出代码中潜在的xss漏洞，便于开发人员对漏洞的定位和修复，并且，是将字符串转换成抽象语法树，然后遍历抽象语法树来检测xss漏洞，这种方式对xss漏洞的定位更加精确。

56、本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。