CN102480490A - 一种用于防止csrf攻击的方法和设备 - Google Patents

一种用于防止csrf攻击的方法和设备 Download PDF

Info

Publication number
CN102480490A
CN102480490A CN2010105803573A CN201010580357A CN102480490A CN 102480490 A CN102480490 A CN 102480490A CN 2010105803573 A CN2010105803573 A CN 2010105803573A CN 201010580357 A CN201010580357 A CN 201010580357A CN 102480490 A CN102480490 A CN 102480490A
Authority
CN
China
Prior art keywords
token
request
client browser
server
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010105803573A
Other languages
English (en)
Other versions
CN102480490B (zh
Inventor
童强国
D·S·梅利克谢申
牛刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to CN201010580357.3A priority Critical patent/CN102480490B/zh
Priority to US13/306,394 priority patent/US9154570B2/en
Publication of CN102480490A publication Critical patent/CN102480490A/zh
Priority to US13/621,238 priority patent/US8997222B2/en
Application granted granted Critical
Publication of CN102480490B publication Critical patent/CN102480490B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/561Adding application-functional data or data for application control, e.g. adding metadata
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Library & Information Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开提供了一种用于防止CSRF攻击的设备和方法,其中方法包括拦截客户端浏览器向服务器发送的请求;生成令牌;生成对请求的响应;将令牌插入到对请求的响应中;以及向客户端浏览器发送插入了令牌的对请求的响应。通过本公开的设备和方法,确保用户通过客户端浏览器访问资源的请求中都被插入了令牌,通过验证请求中令牌是否有效来确保请求是由用户本人发出的,从而防止了CSRF攻击。

Description

一种用于防止CSRF攻击的方法和设备
技术领域
本发明涉及网络安全,更具体地,本发明涉及一种用于防止网络攻击的方法和设备。
背景技术
随着互联网应用的越来越广泛,互联网安全问题成了人们日益关注的问题。在现有的多种威胁网络安全的攻击方法中,跨站请求伪造(CSRF)攻击是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计,例如通过电子邮件或者是聊天软件发送的链接,攻击者就能迫使一个Web应用程序的用户去执行攻击者选择的操作。例如,如果用户登录网络银行去查看其存款余额,他没有退出网络银行系统就去了自己喜欢的论坛,如果攻击者在论坛中精心构造了一个恶意的链接并诱使该用户点击了该链接,那么该用户在网络银行帐户中的资金就有可能被转移到攻击者指定的帐户中。当CSRF针对普通用户发动攻击时,将对终端用户的数据和操作指令构成严重的威胁;当受攻击的终端用户具有管理员帐户的时候,CSRF攻击将危及整个Web应用程序,因而CSRF攻击的危害性很大。
针对CSRF攻击,一种最安全的防止方法就是对现存的所有服务器进行改造使其能够防范CSRF攻击。但这种做法明显不切实际。针对现存的服务器,现有技术中存在的一些其他的解决方案也都不能有效地防止CSRF攻击。因此,需要一种方法和设备能够有效地防止CSRF攻击。
发明内容
本公开说明性实施例中认识到现有技术中不能有效地防止CSRF攻击的问题,提出了一种在不修改现有服务器的前提下能够有效防止CSRF攻击的方法和设备。
根据本公开的一个实施例,提供了一种用于防止CSRF攻击的设备,包括:请求拦截模块,用于拦截客户端浏览器向服务器发送的请求;令牌生成模块,用于生成令牌;响应生成模块,用于生成对请求的响应;令牌插入模块,用于将令牌插入到对请求的响应中;以及响应发送模块,用于向客户端浏览器发送插入了令牌的对请求的响应。
根据本公开的一个实施例,提供了一种用于防止CSRF攻击的设备,包括:请求拦截模块,用于拦截客户端浏览器向服务器发送的请求;令牌读取模块,用于读取客户端浏览器向服务器发送的后续请求中的令牌;令牌验证模块,用于验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。
根据本公开的一个实施例,提供了一种用于防止CSRF攻击的方法,包括:拦截客户端浏览器向服务器发送的请求;生成令牌;生成对请求的响应;将令牌插入到对请求的响应中;以及向客户端浏览器发送插入了令牌的对请求的响应。
根据本公开的一个实施例,提供了一种用于防止CSRF攻击的方法,包括:拦截客户端浏览器向服务器发送的请求;读取客户端浏览器向服务器发送的请求中的令牌;验证客户端浏览器向服务器发送的请求中的令牌是否有效。
此外,本公开的实施例还提供了与上述方法对应的计算机程序产品。
利用本公开实施例提供的上述一个或多个实施例,能够在不修改现有服务器的前提下,有效地防止CSRF攻击。
附图说明
本公开可以通过参考下文中结合附图所给出的描述而得到更好的理解,其中在所有附图中使用了相同或相似的附图标记来表示相同或者相似的部件。所述附图连同下面的详细说明一起包含在本说明书中并且形成本说明书的一部分,而且用来进一步举例说明本公开的优选实施例和解释本公开的原理和优点。在附图中:
图1显示了CSRF攻击的原理图;
图2显示了根据本公开的一个实施例的用于防止CSRF攻击的方法200;
图3a显示了根据本公开一个实施例的用于防止CSRF攻击的方法300;
图3b显示了根据本公开一个实施例的用于防止CSRF攻击的方法300可以包括的一些可选步骤;
图4显示了根据本公开实施例的信号流程。
具体实施方式
在下文中将结合附图对本公开的示范性实施例进行描述。为了清楚和简明起见,在说明书中并未描述实际实施方式的所有特征。然而,应该了解,在开发任何这种实际实施例的过程中必须做出很多特定于该实际实施方式的决定,以便实现开发人员的具体目标,例如,符合与系统及业务相关的那些限制条件,并且这些限制条件可能会随着实施方式的不同而有所改变。此外,还应该了解,虽然开发工作有可能是非常复杂和费时的,但对得益于本公开公开内容的本领域技术人员来说,这种开发工作仅仅是例行的任务。
在此,还需要说明的一点是,为了避免因不必要的细节而模糊了本公开,在附图中仅仅示出了与根据本公开的方案密切相关的装置结构和/或处理步骤,而省略了与本公开关系不大的其他细节。
为了更好地对本公开中技术方案的原理进行介绍,下面首先结合图1介绍CSRF攻击的原理。
图1示例性地显示了CSRF攻击的原理。在图1显示的系统100中,用户102通过其客户端浏览器104访问位于服务器108端的Web应用110。通常情况下,服务器108首先需要验证用户102的身份。验证用户102身份的方式有多种,一般通过提示用户102输入用于访问Web应用110的认证信息来进行。用户102接收到输入提示后输入用于访问Web应用110的认证信息并将包含认证信息的登陆请求发送到服务器108。服务器108通过验证接收的登录请求中包含的用户102的认证信息来验证用户102是否为Web应用110的合法用户。假设用户102输入了正确的认证信息,那么服务器108会认为该用户102为Web应用110的合法用户。由于服务器108是通过cookie来识别用户102的,当用户102成功进行身份验证之后客户端浏览器104就会得到一个识别用户102身份的cookie,该cookie包含用户102的认证信息,用于标识用户102的客户端浏览器104与服务器108的Web应用110之间会话。这里我们以Web应用110为网上银行,用户102想要通过该网上银行进行转账操作为例说明CSRF攻击的过程。假设用户102在该银行具有账户UA,他想通过网上银行将1000元转入到另一个账户UA2上。正常情况下,用户102通过其客户端浏览器104发送的请求应该是:
http://bank.example/withdraw?account=UA&amount=1000&for=UA2
假设攻击者106在该银行具有账户ATT,同时,他知道上下文中的URL可以进行转账操作。这时,攻击者106通过在其拥有权限的某一页面嵌入如下代码:
src=”http://bank.example/withdraw?account=UA&amount=1000&for=ATT”
并通过广告等方式诱使用户102访问具有上述嵌入代码的页面。如果用户102访问了具有上述嵌入代码的页面,上述嵌入代码将被执行。即,用户102的客户端浏览器104会将上述嵌入代码中的URL
http://bank.example/withdraw?account=UA&amount=1000&for=ATT
连同用户102的客户端浏览器104中用于标识用户102的客户端浏览器104和网上银行之间会话的cookie一起发送给网上银行。可以看出,该URL对应于将用户102的账户UA中的1000元转入到攻击者106的账户ATT中的转账请求。通常情况下该请求会失败,因为网上银行要求用户102的认证信息。但是,如果用户102的客户端浏览器104中用于标识用户102的客户端浏览器104和网上银行之间会话的cookie尚未过期,由于该cookie中含有用户102的认证信息,那么网上银行就会接收到包含用户102的认证信息的将用户102的账户UA中的1000元转入到攻击者106的账户ATT中的转账请求。由于该请求中包含了用户102的认证信息,网上银行会将上述请求视为合法的请求进行处理,即将用户102的账户UA中的1000元转到了攻击者106的账户ATT中。
上面简要描述了CSRF攻击的原理。下面将继续结合上面的例子详细介绍根据本公开的实施例用于防止CSRF攻击的方法和设备。下面的描述均是示例性描述,在本公开中描述内容的基础上,所属领域技术人员可以通过增加、减少、组合、修改等方式得到在本公开构思所覆盖范围内的其他可能的实施方式,所有这些都将落入本公开的保护范围内。
本公开引入一个用于拦截客户端浏览器向服务器发送的请求的设备,该设备向客户端浏览器发送的请求中添加令牌。随后,该设备会对客户端浏览器发送的每一个请求进行验证以确定每一个请求是否安全。
下面参见图2,其中显示了根据本公开一个实施例的用于防止CSRF攻击的设备200的设备,包括:
请求拦截模块202,用于拦截客户端浏览器向服务器发送的请求;
令牌生成模块204,用于生成令牌;
响应生成模块206,用于生成对请求的响应;
令牌插入模块208,用于将令牌插入到对请求的响应中;以及
响应发送模块210,用于向客户端浏览器发送插入了令牌的对请求的响应。
其中,对请求的响应可以是HTTP 307响应。
此外,根据本公开一个实施例的用于防止CSRF攻击的设备200还可以包括:令牌读取模块212,用于读取客户端浏览器向服务器发送的后续请求中的令牌;令牌验证模块214,用于验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。如果客户端浏览器向服务器发送的后续请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且令牌验证模块214验证其令牌有效,则由响应生成模块206生成对后续请求的响应;由令牌插入模块208将令牌插入到对后续请求的响应中;以及由响应发送模块210向客户端浏览器发送插入了令牌的对后续请求的响应。
此外,根据本公开一个实施例的用于防止CSRF攻击的设备200还可以包括:请求转发模块216,用于将客户端浏览器向服务器发送的后续请求转发到服务器。如果客户端浏览器向服务器发送的后续请求中请求的URL中存在令牌并且令牌验证模块214验证其令牌有效,则由请求转发模块216将后续请求转发到服务器。
此外,根据本公开一个实施例的用于防止CSRF攻击的设备200还可以包括:请求判断模块218,用于判断客户端浏览器向服务器发送的后续请求是否为Ajax请求。如果请求判断模块218确定客户端浏览器向服务器发送的后续请求是Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌验证模块214验证其令牌有效,则由请求转发模块216将后续请求转发到服务器。如果请求判断模块218确定客户端浏览器向服务器发送的后续请求是非Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌验证模块214验证其令牌有效,则由响应生成模块206生成对后续请求的响应;由令牌插入模块208将令牌插入到对后续请求的响应中;以及由响应发送模块210向客户端浏览器发送插入了令牌的对后续请求的响应。
申请人强调,尽管图2中显示的用于防止CSRF攻击的设备200包括多个模块,但并不是每个模块都是必须的,可以根据设计的需要增加或减少一些模块。例如,用于防止CSRF攻击的设备200可以仅包含实线显示的那些模块。
下面参见图3a,其中显示了根据本公开一个实施例的用于防止CSRF攻击的方法300。
图3a的方法300从步骤302开始。接下来,方法300进入步骤304,其中拦截客户端浏览器向服务器发送的请求。可以通过如图2所示的设备200中的请求拦截模块202对请求进行拦截,请求拦截模块202可以例如利用Java Servlet实现。可以采用现有的任意方式的对请求进行拦截的方法来达到上述目的,这里不再赘述。
接下来,方法300进入步骤306,其中生成令牌,该令牌用于插入到要向客户端浏览器返回的响应中。令牌的生成可以利用现有技术中的算法和手段,例如利用UUID或随机算法。
接下来,方法300进入步骤308,其中生成针对拦截的客户端浏览器向服务器发送的请求的响应。根据本公开的一个实施例,该响应为HTTP307响应。HTTP 307响应是遵循HTTP 1.1协议的用于重定向的响应,能够将客户端浏览器发送的HTTP请求(包括HTTP GET和HTTP POST)重定向到预先设置的位置。
接下来,方法300进入步骤310,其中将生成的令牌插入到生成的针对拦截的客户端浏览器向服务器发送的请求的响应中。这时,向客户端浏览器返回的响应中包含了在步骤306中生成的令牌。
接下来,方法300进入步骤312,结束。或者可选地,方法300还可以进入图3b。
现在参见图3b,其中显示了根据本公开一个实施例的用于防止CSRF攻击的方法300可以包括的一些可选步骤。
接图3a,根据本公开一个实施例的用于防止CSRF攻击的方法300还可以包括步骤314,其中拦截客户端浏览器向服务器发送的后续请求。这里,后续请求对应于执行如图3a显示的方法,客户端浏览器接收了设备200返回的响应之后发送的请求。由于设备200向客户端浏览器返回的响应中被插入了令牌,因此,客户端浏览器随后向服务器发出的后续请求中也会包含该令牌。
接下来,方法300进入步骤316,其中读取客户端浏览器向服务器发送的后续请求中的令牌。
接下来,方法300进入步骤318,其中验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。之后,方法300进入步骤320,其中通过比较读取的客户端浏览器向服务器发送的后续请求中的令牌与设备200中记录的其向客户端浏览器返回的响应中插入的令牌是否相同来确定客户端浏览器向服务器发送的后续请求中的令牌是否有效。如果两者不同,方法300进入步骤322,认为该请求无效。之后方法300返回步骤314,继续拦截客户端浏览器向服务器发送的后续请求。如果两者相同,方法300进入步骤324,其中进一步验证客户端浏览器向服务器发送的后续请求中请求的URL中是否存在令牌。如果客户端浏览器向服务器发送的后续请求中请求的URL中存在令牌并且有效,方法300进入步骤326,其中将后续请求转发到服务器。由于攻击者无法知道令牌的值,因此请求的URL中存在有效的令牌将说明该请求是安全的,因而可以将其转发到服务器进行处理。
如果客户端浏览器向服务器发送的后续请求中请求的URL中不存在令牌,则进一步验证客户端浏览器向服务器发送的后续请求中的Referer头域中是否存在令牌以及令牌是否有效。Referer头域是HTTP协议中定义的HTTP头中的字段,允许客户端指定请求URL的源资源地址,这可以允许服务器生成回退链表。例如,用户通过点击IBM的主页(www.ibm.com)中的链接访问IBM技术支持页面(www.ibm.com/support),那么客户端浏览器发送的访问IBM技术支持页面的请求中的Referer头域中将包含IBM的主页的地址。例如,该请求可能为:
GET http://www.ibm.com/support
Referer:http://www.ibm.com
如果客户端浏览器向服务器发送的后续请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且有效,方法300进入步骤328,其中生成对后续请求的响应;之后在步骤330,将令牌插入到对后续请求的响应中,并在步骤332,向客户端浏览器发送插入了令牌的对后续请求的响应。
可选地,如果客户端浏览器向服务器发送的后续请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且有效,方法300还可以进入步骤334,其中判断客户端浏览器向服务器发送的后续请求是否为Ajax请求,如果是Ajax请求,方法300进入步骤326,其中将后续请求转发到服务器。如果不是Ajax请求,方法300进入步骤328,其中生成对后续请求的响应;之后在步骤330,将令牌插入到对后续请求的响应中,并在步骤332,向客户端浏览器发送插入了令牌的对后续请求的响应。由于Ajax请求的特点,在已经验证了令牌的有效性的前提下,可以认为该请求是安全的,因而可以将其转发到服务器进行处理。
下面参见图4,其中显示了根据本公开实施例的信号流程。申请人强调,图4只是为了说明的目的,不能认为是对本公开保护范围的限制。图4中假设用户通过他的客户端浏览器请求访问受保护的资源URL 1,如402所示。该请求发送到服务器的认证模块,认证模块提示用户输入认证信息,如404所示。然后,用户提供认证信息,如406所示。接下来,服务器验证模块验证用户提供的认证信息。如果认证信息正确,服务器验证模块将请求向URL 1转发,如408所示。现有技术中,当服务器验证模块验证用户的认证信息正确之后请求会被直接转发至服务器中的Web应用。根据本公开的一个或多个实施例,设备200拦截该请求(这里是服务器认证模块转发的访问<URL 1>的请求)。之后,设备200中的令牌生成模块生成令牌XXX(如410中所示的Token=XXX),将令牌XXX插入到向客户端浏览器返回的响应中,如410所示。根据本公开的一个实施例,设备200向客户端浏览器返回HTTP 307响应,将请求重定向至<URL 1>。该响应典型地如下所示:
HTTP 307 Temporary Redirect
Location:<URL 1>?Token=XXX
可见,该响应中插入了令牌XXX,该令牌被加插入到用户将再次请求的URL 1中,即<URL 1>?Token=XXX,如412所示。
客户端浏览器接收到插入了令牌XXX的响应之后,请求访问响应中指定的地址<URL 1>,这时的请求典型地如下所示:
GET<URL 1>?Token=XXX
可见,该请求的URL中也插入了令牌XXX,即<URL1>?Token=XXX,如414所示。这时,设备200再次拦截该请求,并验证该请求中请求的URL中是否存在令牌并且令牌是否有效。如果请求的URL中存在令牌并且令牌有效,即请求的为<URL 1>?Token=XXX,而Token=XXX,设备200将该请求转发至服务器的Web应用,如416所示。Web应用接收到请求后对其进行响应,向客户端浏览器返回请求的资源<URL 1>,如418所示。这时,返回的资源<URL 1>对应的页面的地址中也插入了令牌XXX,即返回的页面对应的地址是<URL 1>?Token=XXX。
假设用户在资源<URL 1>对应的页面内通过点击链接请求访问资源<URL 2>。根据HTTP协议,这时的请求中会具有Referer头域,以表明访问资源<URL 2>的来源。这时,由于资源<URL 1>对应的页面的地址中已经插入了令牌XXX,即<URL 1>?Token=XXX,典型的请求将如下所示:
GET<URL 2>
Referer:<URL1>?Token=XXX
即,该请求中也插入了令牌XXX,该令牌位于Referer头域,如420所示。
根据本公开的一个或多个实施例,设备200再次拦截该请求(这里是客户端浏览器发送的通过<URL 1>访问<URL 2>的请求),并验证该请求中请求的URL中是否存在令牌以及令牌是否有效,如422所示。如果请求的URL(这里是URL 2)中不存在令牌而Referer头域中存在令牌并且令牌有效,即Referer:<URL1>?Token=XXX,并且Token=XXX,设备200再次将令牌XXX插入到向客户端浏览器返回的响应中,如424所示。根据本公开的一个实施例,设备200向客户端浏览器返回HTTP 307响应,将请求重定向至<URL 2>,并再次插入令牌XXX。该响应典型地如下所示:
HTTP 307 Temporary Redirect
Location:<URL 2>?Token=XXX
可见,该响应中也插入了令牌XXX,该令牌被插入到用户将再次请求的URL 2中,即<URL 2>?Token=XXX,如424所示。
客户端浏览器接收到插入了令牌的上述响应之后,请求访问响应中指定的地址<URL 2>,这时的请求典型地如下所示:
GET<URL 2>?Token=XXX
可见,该请求中请求的URL中也插入了令牌XXX,如426所示。这时,设备200再次拦截该请求,并验证该请求中请求的URL中是否存在令牌以及令牌是否有效。如果请求的URL中存在令牌并且令牌有效,即请求的为<URL 2>?Token=XXX,而Token=XXX,设备200将该请求转发至服务器的Web应用,如428所示。Web应用接收到请求后对其进行响应,向客户端浏览器返回请求的资源<URL 2>,如430所示。这时,返回的资源<URL 2>对应的页面的地址中也插入了令牌XXX,即<URL2>?Token=XXX。
下面简要描述一下根据本公开的一些其他实施方式。根据本公开的一个实施例,用于防止CSRF攻击的设备,包括:请求拦截模块,用于拦截客户端浏览器向服务器发送的请求;令牌读取模块,用于读取客户端浏览器向服务器发送的后续请求中的令牌;令牌验证模块,用于验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。
可选地,用于防止CSRF攻击的设备进一步包括:请求转发模块,用于将客户端浏览器向服务器发送的请求转发到服务器。其中:如果客户端浏览器向服务器发送的请求中请求的URL中存在令牌并且令牌验证模块验证其令牌有效,则:由请求转发模块将后续请求转发到服务器。
可选地,用于防止CSRF攻击的设备进一步包括:响应生成模块,用于生成对请求的响应;令牌插入模块,用于将令牌插入到对请求的响应中;以及响应发送模块,用于向客户端浏览器发送插入了令牌的对请求的响应。其中:如果客户端浏览器向服务器发送的请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且令牌验证模块验证其令牌有效,则:由响应生成模块生成对请求的响应;由令牌插入模块将令牌插入到对请求的响应中;由响应发送模块向客户端浏览器发送插入了令牌的对请求的响应。
可选地,用于防止CSRF攻击的设备进一步包括:请求判断模块,用于判断客户端浏览器向服务器发送的请求是否为Ajax请求。其中:如果请求判断模块确定客户端浏览器向服务器发送的请求是Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌验证模块验证其令牌有效,则:由请求转发模块将请求转发到服务器。其中:如果请求判断模块确定客户端浏览器向服务器发送的请求是非Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌验证模块验证其令牌有效,则:由响应生成模块生成对请求的响应;由令牌插入模块将令牌插入到对请求的响应中;由响应发送模块向客户端浏览器发送插入了令牌的对请求的响应。
根据本公开的一个实施例,用于防止CSRF攻击的方法,包括:拦截客户端浏览器向服务器发送的请求;读取客户端浏览器向服务器发送的请求中的令牌;验证客户端浏览器向服务器发送的请求中的令牌是否有效。
可选地,用于防止CSRF攻击的方法进一步包括:如果客户端浏览器向服务器发送的后续请求中请求的URL中存在令牌并且令牌有效,则:将后续请求转发到服务器。
可选地,用于防止CSRF攻击的方法进一步包括:如果客户端浏览器向服务器发送的请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且令牌有效,则:生成对请求的响应;将令牌插入到对请求的响应中;向客户端浏览器发送插入了令牌的对请求的响应。
可选地,用于防止CSRF攻击的方法进一步包括:判断客户端浏览器向服务器发送的请求是否为Ajax请求。其中:如果客户端浏览器向服务器发送的请求是Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌有效,则:将请求转发到服务器。其中:如果客户端浏览器向服务器发送的请求是非Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌有效,则:生成对请求的响应;将令牌插入到对请求的响应中;向客户端浏览器发送插入了令牌的对请求的响应。
通过以上示例性的描述可以看出,利用本公开的方法和设备,在用户通过客户端浏览器访问资源的请求中被插入了令牌,因而设备200能够通过验证请求中令牌是否有效来确保请求是由用户本人发出的,从而防止了CSRF攻击。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,对本领域的普通技术人员而言,能够理解本公开的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本公开的说明的情况下运用他们的基本编程技能就能实现的。
因此,本公开的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本公开的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本公开,并且存储有这样的程序产品的存储介质也构成本公开。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。
还需要指出的是,在本公开的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
虽然已经详细说明了本公开及其优点,但是应当理解在不脱离由所附的权利要求所限定的本公开的精神和范围的情况下可以进行各种改变、替代和变换。而且,本申请的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者装置中还存在另外的相同要素。

Claims (25)

1.一种用于防止CSRF攻击的设备,包括:
请求拦截模块,用于拦截客户端浏览器向服务器发送的请求;
令牌生成模块,用于生成令牌;
响应生成模块,用于生成对请求的响应;
令牌插入模块,用于将令牌插入到对请求的响应中;以及
响应发送模块,用于向客户端浏览器发送插入了令牌的对请求的响应。
2.根据权利要求1的设备,其中:
所述响应是HTTP 307响应。
3.根据权利要求1或2的设备,进一步包括:
由请求拦截模块拦截客户端浏览器向服务器发送的后续请求;
令牌读取模块,用于读取客户端浏览器向服务器发送的后续请求中的令牌;
令牌验证模块,用于验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。
4.根据权利要求3的设备,进一步包括:
请求转发模块,用于将客户端浏览器向服务器发送的后续请求转发到服务器。
5.根据权利要求4的设备,其中:
如果客户端浏览器向服务器发送的后续请求中请求的URL中存在令牌并且令牌验证模块验证其令牌有效,则:
由请求转发模块将后续请求转发到服务器。
6.根据权利要求3的设备,其中:
如果客户端浏览器向服务器发送的后续请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且令牌验证模块验证其令牌有效,则:
由响应生成模块生成对后续请求的响应;
由令牌插入模块将令牌插入到对后续请求的响应中;
由响应发送模块向客户端浏览器发送插入了令牌的对后续请求的响应。
7.根据权利要求3的设备,进一步包括:
请求判断模块,用于判断客户端浏览器向服务器发送的后续请求是否为Ajax请求。
8.根据权利要求7的设备,其中:
如果请求判断模块确定客户端浏览器向服务器发送的后续请求是Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌验证模块验证其令牌有效,则:
由请求转发模块将后续请求转发到服务器。
9.根据权利要求7的设备,其中:
如果请求判断模块确定客户端浏览器向服务器发送的后续请求是非Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌验证模块验证其令牌有效,则:
由响应生成模块生成对后续请求的响应;
由令牌插入模块将令牌插入到对后续请求的响应中;
由响应发送模块向客户端浏览器发送插入了令牌的对后续请求的响应。
10.一种用于防止CSRF攻击的方法,包括:
拦截客户端浏览器向服务器发送的请求;
生成令牌;
生成对请求的响应;
将令牌插入到对请求的响应中;以及
向客户端浏览器发送插入了令牌的对请求的响应。
11.根据权利要求10的方法,其中:
所述响应是HTTP 307响应。
12.根据权利要求10或11的方法,进一步包括:
拦截客户端浏览器向服务器发送的后续请求;
读取客户端浏览器向服务器发送的后续请求中的令牌;
验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。
13.根据权利要求12的方法,进一步包括:
如果客户端浏览器向服务器发送的后续请求中请求的URL中存在令牌并且令牌有效,则:
将后续请求转发到服务器。
14.根据权利要求12的方法,进一步包括:
如果客户端浏览器向服务器发送的请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且令牌有效,则:
生成对后续请求的响应;
将令牌插入到对后续请求的响应中;
向客户端浏览器发送插入了令牌的对后续请求的响应。
15.根据权利要求12的方法,进一步包括:
判断客户端浏览器向服务器发送的后续请求是否为Ajax请求。
16.根据权利要求15的方法,其中:
如果客户端浏览器向服务器发送的后续请求是Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌有效,则:
将后续请求转发到服务器。
17.根据权利要求15的方法,其中:
如果客户端浏览器向服务器发送的后续请求是非Ajax请求,并且请求的URL中不存在令牌而Referer头域中存在令牌并且令牌有效,则:
生成对后续请求的响应;
将令牌插入到对后续请求的响应中;
向客户端浏览器发送插入了令牌的对后续请求的响应。
18.一种用于防止CSRF攻击的设备,包括:
请求拦截模块,用于拦截客户端浏览器向服务器发送的请求;
令牌读取模块,用于读取客户端浏览器向服务器发送的后续请求中的令牌;
令牌验证模块,用于验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。
19.根据权利要求18的设备,进一步包括:
请求转发模块,用于将客户端浏览器向服务器发送的请求转发到服务器。
20.根据权利要求19的设备,其中:
如果客户端浏览器向服务器发送的请求中请求的URL中存在令牌并且令牌验证模块验证其令牌有效,则:
由请求转发模块将后续请求转发到服务器。
21.根据权利要求18的设备,进一步包括:
响应生成模块,用于生成对请求的响应;
令牌插入模块,用于将令牌插入到对请求的响应中;以及
响应发送模块,用于向客户端浏览器发送插入了令牌的对请求的响应。
22.根据权利要求21的设备,其中:
如果客户端浏览器向服务器发送的请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且令牌验证模块验证其令牌有效,则:
由响应生成模块生成对请求的响应;
由令牌插入模块将令牌插入到对请求的响应中;
由响应发送模块向客户端浏览器发送插入了令牌的对请求的响应。
23.一种用于防止CSRF攻击的方法,包括:
拦截客户端浏览器向服务器发送的请求;
读取客户端浏览器向服务器发送的请求中的令牌;
验证客户端浏览器向服务器发送的请求中的令牌是否有效。
24.根据权利要求23的方法,进一步包括:
如果客户端浏览器向服务器发送的后续请求中请求的URL中存在令牌并且令牌有效,则:
将后续请求转发到服务器。
25.根据权利要求23的方法,进一步包括:
如果客户端浏览器向服务器发送的请求中请求的URL中不存在令牌,而Referer头域中存在令牌并且令牌有效,则:
生成对请求的响应;
将令牌插入到对请求的响应中;
向客户端浏览器发送插入了令牌的对请求的响应。
CN201010580357.3A 2010-11-30 2010-11-30 一种用于防止csrf攻击的方法和设备 Expired - Fee Related CN102480490B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201010580357.3A CN102480490B (zh) 2010-11-30 2010-11-30 一种用于防止csrf攻击的方法和设备
US13/306,394 US9154570B2 (en) 2010-11-30 2011-11-29 Device for preventing CSRF attack
US13/621,238 US8997222B2 (en) 2010-11-30 2012-09-15 Method and device for preventing CSRF attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010580357.3A CN102480490B (zh) 2010-11-30 2010-11-30 一种用于防止csrf攻击的方法和设备

Publications (2)

Publication Number Publication Date
CN102480490A true CN102480490A (zh) 2012-05-30
CN102480490B CN102480490B (zh) 2014-09-24

Family

ID=46092972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010580357.3A Expired - Fee Related CN102480490B (zh) 2010-11-30 2010-11-30 一种用于防止csrf攻击的方法和设备

Country Status (2)

Country Link
US (2) US9154570B2 (zh)
CN (1) CN102480490B (zh)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103944900A (zh) * 2014-04-18 2014-07-23 中国科学院计算技术研究所 一种基于加密的跨站请求攻击防范方法及其装置
CN104038474A (zh) * 2014-05-09 2014-09-10 深信服网络科技(深圳)有限公司 互联网访问的检测方法及装置
CN104580207A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 物联网中的认证信息的转发方法、装置以及转发器
CN104660556A (zh) * 2013-11-20 2015-05-27 深圳市腾讯计算机系统有限公司 跨站伪造请求漏洞检测的方法及装置
CN105743869A (zh) * 2014-12-12 2016-07-06 阿里巴巴集团控股有限公司 Csrf攻击防范方法、网站服务器及浏览器
CN105991615A (zh) * 2015-03-04 2016-10-05 杭州迪普科技有限公司 基于csrf攻击的防护方法及装置
CN106487812A (zh) * 2016-12-02 2017-03-08 努比亚技术有限公司 一种鉴权方法及装置
CN106790238A (zh) * 2017-01-19 2017-05-31 北京神州绿盟信息安全科技股份有限公司 一种跨站请求伪造csrf防御认证方法和装置
CN106790007A (zh) * 2016-12-13 2017-05-31 武汉虹旭信息技术有限责任公司 基于XSS和CSRF的Web攻击防御系统及其方法
CN107294994A (zh) * 2017-07-06 2017-10-24 网宿科技股份有限公司 一种基于云平台的csrf防护方法和系统
CN107436873A (zh) * 2016-05-25 2017-12-05 北京奇虎科技有限公司 一种网址跳转方法、装置及中转装置
US9860232B2 (en) 2014-07-28 2018-01-02 International Business Machines Corporation Protecting network communication security
CN107634967A (zh) * 2017-10-19 2018-01-26 南京大学 一种CSRF攻击的CSRFToken防御系统和方法
CN107819639A (zh) * 2016-09-14 2018-03-20 西门子公司 一种测试方法和装置
CN108259619A (zh) * 2018-01-30 2018-07-06 成都东软学院 网络请求防护方法及网络通信系统
CN109067769A (zh) * 2018-09-03 2018-12-21 浙江农林大学暨阳学院 一种利用身份认证机制来进行csrf防护方法
CN109962892A (zh) * 2017-12-25 2019-07-02 航天信息股份有限公司 一种登录应用的认证方法及客户端、服务器
CN110266792A (zh) * 2019-06-18 2019-09-20 深圳前海微众银行股份有限公司 地址转换方法、装置、设备与计算机可读存储介质
CN110858836A (zh) * 2018-08-24 2020-03-03 阿里巴巴集团控股有限公司 网络攻击防御方法及设备
CN111212016A (zh) * 2018-11-21 2020-05-29 阿里巴巴集团控股有限公司 跨站请求处理方法、装置及电子设备
CN112104458A (zh) * 2020-09-04 2020-12-18 紫光云(南京)数字技术有限公司 一种基于手机令牌防御csrf攻击的方法
CN112866265A (zh) * 2021-01-27 2021-05-28 湖南快乐阳光互动娱乐传媒有限公司 一种csrf攻击防护方法及装置
CN112910915A (zh) * 2021-02-19 2021-06-04 北京中宇万通科技股份有限公司 可信连接认证方法、装置、设备和计算机可读存储介质
CN114640525A (zh) * 2022-03-21 2022-06-17 北京从云科技有限公司 针对WEB服务的DDoS攻击的保护方法、装置和设备

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2500229B (en) * 2012-03-14 2014-08-06 Canon Kk Method,system and server device for transmitting a digital resource in a client-server communication system
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
US9104838B2 (en) * 2012-11-14 2015-08-11 Google Inc. Client token storage for cross-site request forgery protection
US10554662B2 (en) * 2015-06-30 2020-02-04 Mcafee, Llc Security service for an unmanaged device
US9660809B2 (en) 2015-08-07 2017-05-23 Adobe Systems Incorporated Cross-site request forgery defense
CN106549925A (zh) 2015-09-23 2017-03-29 阿里巴巴集团控股有限公司 防止跨站点请求伪造的方法、装置及系统
CN105656912A (zh) * 2016-01-29 2016-06-08 广西咪付网络技术有限公司 一种移动智能终端app请求流程控制方法
WO2018071881A1 (en) * 2016-10-14 2018-04-19 PerimeterX, Inc. Securing ordered resource access
US10826935B2 (en) * 2018-04-24 2020-11-03 International Business Machines Corporation Phishing detection through secure testing implementation
CN109150889A (zh) * 2018-09-03 2019-01-04 浙江农林大学暨阳学院 一种利用授权访问机制来进行csrf防护方法
US11190514B2 (en) * 2019-06-17 2021-11-30 Microsoft Technology Licensing, Llc Client-server security enhancement using information accessed from access tokens
US11086991B2 (en) * 2019-08-07 2021-08-10 Advanced New Technologies Co., Ltd. Method and system for active risk control based on intelligent interaction
US11363070B2 (en) * 2020-01-05 2022-06-14 International Business Machines Corporation Preventing cross-site request forgery
CN111343191B (zh) * 2020-03-03 2022-08-16 浙江大华技术股份有限公司 会话校验方法及装置、存储介质、电子装置
CN111447195B (zh) * 2020-03-23 2022-04-12 杭州小影创新科技股份有限公司 一种防止请求报文被篡改攻击重放的web接口设计方法
US11032270B1 (en) * 2020-04-07 2021-06-08 Cyberark Software Ltd. Secure provisioning and validation of access tokens in network environments
US11258788B2 (en) * 2020-05-08 2022-02-22 Cyberark Software Ltd. Protections against security vulnerabilities associated with temporary access tokens
CN113783824B (zh) * 2020-06-10 2022-08-30 中国电信股份有限公司 防止跨站请求伪造的方法、装置、客户端、系统及介质
CN112039845A (zh) * 2020-07-24 2020-12-04 网宿科技股份有限公司 请求处理方法与安全防护系统
US11575525B2 (en) 2020-12-30 2023-02-07 Zoom Video Communications, Inc. Methods and apparatus for providing meeting controls for network conferences
US11595451B2 (en) * 2020-12-30 2023-02-28 Zoom Video Communications, Inc. Methods and apparatus for receiving meeting controls for network conferences
CN115766197A (zh) * 2022-11-11 2023-03-07 浙江网商银行股份有限公司 数据处理方法以及装置
CN116112558A (zh) * 2022-11-21 2023-05-12 上海浦东发展银行股份有限公司 一种基于axios的接口拦截方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6826696B1 (en) * 1999-10-12 2004-11-30 Webmd, Inc. System and method for enabling single sign-on for networked applications
US20080127323A1 (en) * 2006-11-02 2008-05-29 Tarun Soin Detecting stolen authentication cookie attacks
US20080320567A1 (en) * 2007-06-20 2008-12-25 Imperva, Inc. System and method for preventing web frauds committed using client-scripting attacks
CN100543714C (zh) * 2002-09-30 2009-09-23 斯科特·桑普森 使用令牌动作日志的通信管理

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5966705A (en) * 1997-06-30 1999-10-12 Microsoft Corporation Tracking a user across both secure and non-secure areas on the Internet, wherein the users is initially tracked using a globally unique identifier
US6360254B1 (en) 1998-09-15 2002-03-19 Amazon.Com Holdings, Inc. System and method for providing secure URL-based access to private resources
US20050210263A1 (en) * 2001-04-25 2005-09-22 Levas Robert G Electronic form routing and data capture system and method
US7673135B2 (en) * 2005-12-08 2010-03-02 Microsoft Corporation Request authentication token
US8132242B1 (en) * 2006-02-13 2012-03-06 Juniper Networks, Inc. Automated authentication of software applications using a limited-use token
US8230225B2 (en) * 2006-03-14 2012-07-24 Sprint Spectrum L.P. Method and system for certified publication of content
CA2648997A1 (en) * 2006-04-13 2007-10-25 Art Of Defence Gmbh Method for providing web application security
US8302170B2 (en) 2008-09-22 2012-10-30 Bespoke Innovations S.A.R.L. Method for enhancing network application security
US8020193B2 (en) 2008-10-20 2011-09-13 International Business Machines Corporation Systems and methods for protecting web based applications from cross site request forgery attacks
US8434131B2 (en) * 2009-03-20 2013-04-30 Commvault Systems, Inc. Managing connections in a data storage system
US8438649B2 (en) * 2010-04-16 2013-05-07 Success Factors, Inc. Streaming insertion of tokens into content to protect against CSRF
USH2279H1 (en) * 2010-08-31 2013-07-02 Cpanel, Inc. Method for prevention of cross site request forgery attack
US8819424B2 (en) * 2010-09-30 2014-08-26 Microsoft Corporation Token-based authentication using middle tier

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6826696B1 (en) * 1999-10-12 2004-11-30 Webmd, Inc. System and method for enabling single sign-on for networked applications
CN100543714C (zh) * 2002-09-30 2009-09-23 斯科特·桑普森 使用令牌动作日志的通信管理
US20080127323A1 (en) * 2006-11-02 2008-05-29 Tarun Soin Detecting stolen authentication cookie attacks
US20080320567A1 (en) * 2007-06-20 2008-12-25 Imperva, Inc. System and method for preventing web frauds committed using client-scripting attacks

Cited By (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104660556A (zh) * 2013-11-20 2015-05-27 深圳市腾讯计算机系统有限公司 跨站伪造请求漏洞检测的方法及装置
CN104660556B (zh) * 2013-11-20 2018-06-01 深圳市腾讯计算机系统有限公司 跨站伪造请求漏洞检测的方法及装置
CN103944900B (zh) * 2014-04-18 2017-11-24 中国科学院计算技术研究所 一种基于加密的跨站请求攻击防范方法及其装置
CN103944900A (zh) * 2014-04-18 2014-07-23 中国科学院计算技术研究所 一种基于加密的跨站请求攻击防范方法及其装置
CN104038474A (zh) * 2014-05-09 2014-09-10 深信服网络科技(深圳)有限公司 互联网访问的检测方法及装置
US9860232B2 (en) 2014-07-28 2018-01-02 International Business Machines Corporation Protecting network communication security
US10142319B2 (en) 2014-07-28 2018-11-27 International Business Machines Corporation Protecting network communication security
CN105743869A (zh) * 2014-12-12 2016-07-06 阿里巴巴集团控股有限公司 Csrf攻击防范方法、网站服务器及浏览器
US10880297B2 (en) 2015-01-04 2020-12-29 Huawei Technologies Co., Ltd. Forwarding method, forwarding apparatus, and forwarder for authentication information in Internet of Things
CN104580207B (zh) * 2015-01-04 2019-03-19 华为技术有限公司 物联网中的认证信息的转发方法、装置以及转发器
CN104580207A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 物联网中的认证信息的转发方法、装置以及转发器
CN105991615A (zh) * 2015-03-04 2016-10-05 杭州迪普科技有限公司 基于csrf攻击的防护方法及装置
CN105991615B (zh) * 2015-03-04 2019-06-07 杭州迪普科技股份有限公司 基于csrf攻击的防护方法及装置
CN107436873A (zh) * 2016-05-25 2017-12-05 北京奇虎科技有限公司 一种网址跳转方法、装置及中转装置
CN107436873B (zh) * 2016-05-25 2021-05-07 北京奇虎科技有限公司 一种网址跳转方法、装置及中转装置
CN107819639A (zh) * 2016-09-14 2018-03-20 西门子公司 一种测试方法和装置
CN106487812A (zh) * 2016-12-02 2017-03-08 努比亚技术有限公司 一种鉴权方法及装置
CN106790007A (zh) * 2016-12-13 2017-05-31 武汉虹旭信息技术有限责任公司 基于XSS和CSRF的Web攻击防御系统及其方法
CN106790238B (zh) * 2017-01-19 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种跨站请求伪造csrf防御认证方法和装置
CN106790238A (zh) * 2017-01-19 2017-05-31 北京神州绿盟信息安全科技股份有限公司 一种跨站请求伪造csrf防御认证方法和装置
CN107294994A (zh) * 2017-07-06 2017-10-24 网宿科技股份有限公司 一种基于云平台的csrf防护方法和系统
CN107294994B (zh) * 2017-07-06 2020-06-05 网宿科技股份有限公司 一种基于云平台的csrf防护方法和系统
CN107634967A (zh) * 2017-10-19 2018-01-26 南京大学 一种CSRF攻击的CSRFToken防御系统和方法
CN109962892A (zh) * 2017-12-25 2019-07-02 航天信息股份有限公司 一种登录应用的认证方法及客户端、服务器
CN108259619B (zh) * 2018-01-30 2021-08-24 成都东软学院 网络请求防护方法及网络通信系统
CN108259619A (zh) * 2018-01-30 2018-07-06 成都东软学院 网络请求防护方法及网络通信系统
CN110858836A (zh) * 2018-08-24 2020-03-03 阿里巴巴集团控股有限公司 网络攻击防御方法及设备
CN109067769A (zh) * 2018-09-03 2018-12-21 浙江农林大学暨阳学院 一种利用身份认证机制来进行csrf防护方法
CN111212016A (zh) * 2018-11-21 2020-05-29 阿里巴巴集团控股有限公司 跨站请求处理方法、装置及电子设备
CN110266792A (zh) * 2019-06-18 2019-09-20 深圳前海微众银行股份有限公司 地址转换方法、装置、设备与计算机可读存储介质
CN110266792B (zh) * 2019-06-18 2024-04-12 深圳前海微众银行股份有限公司 地址转换方法、装置、设备与计算机可读存储介质
CN112104458A (zh) * 2020-09-04 2020-12-18 紫光云(南京)数字技术有限公司 一种基于手机令牌防御csrf攻击的方法
CN112866265A (zh) * 2021-01-27 2021-05-28 湖南快乐阳光互动娱乐传媒有限公司 一种csrf攻击防护方法及装置
CN112866265B (zh) * 2021-01-27 2023-03-24 湖南快乐阳光互动娱乐传媒有限公司 一种csrf攻击防护方法及装置
CN112910915A (zh) * 2021-02-19 2021-06-04 北京中宇万通科技股份有限公司 可信连接认证方法、装置、设备和计算机可读存储介质
CN114640525A (zh) * 2022-03-21 2022-06-17 北京从云科技有限公司 针对WEB服务的DDoS攻击的保护方法、装置和设备
CN114640525B (zh) * 2022-03-21 2024-06-25 北京从云科技有限公司 针对WEB服务的DDoS攻击的保护方法、装置和设备

Also Published As

Publication number Publication date
US8997222B2 (en) 2015-03-31
US20130019308A1 (en) 2013-01-17
US9154570B2 (en) 2015-10-06
US20120137363A1 (en) 2012-05-31
CN102480490B (zh) 2014-09-24

Similar Documents

Publication Publication Date Title
CN102480490B (zh) 一种用于防止csrf攻击的方法和设备
CN105007280B (zh) 一种应用登录方法和装置
US8448241B1 (en) Browser extension for checking website susceptibility to cross site scripting
CN102624737B (zh) 单点登录系统中针对Form身份鉴别的单点登录集成方法
CN103944900B (zh) 一种基于加密的跨站请求攻击防范方法及其装置
CN107634967B (zh) 一种CSRF攻击的CSRFToken防御系统和方法
US7293281B1 (en) Method and system for verifying a client request
US10778668B2 (en) HTTP session validation module
CN102685081B (zh) 一种网页请求安全处理方法及系统
CN102682009A (zh) 一种用户登录网页的方法及系统
CN104753730B (zh) 一种漏洞检测的方法及装置
CN104378376A (zh) 基于soa的单点登录方法、认证服务器和浏览器
CN105450730A (zh) 一种处理客户端请求的方法和装置
EP1931114B1 (en) Method and apparatus for detecting the IP address of a computer and location information associated therewith
CN102638454A (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN102571846A (zh) 一种转发http请求的方法及装置
CN105306473A (zh) 一种防止注入攻击的方法、客户端、服务器和系统
CN103428179A (zh) 一种登录多域名网站的方法、系统以及装置
CN103634399A (zh) 一种实现跨域数据传输的方法和装置
CN106331042A (zh) 一种异构用户系统的单点登录方法及其装置
CN103634111B (zh) 单点登录方法和系统及单点登录客户端
CN108259457A (zh) 一种web认证方法及装置
CN114616795A (zh) 用于防止重试或重放攻击的安全机制
WO2018112878A1 (zh) 一种基于令牌机制的检测和防御cc攻击的系统和方法
CN103647652B (zh) 一种实现数据传输的方法、装置和服务器

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140924