CN114915462A - 跨站请求伪造攻击防御方法及装置、电子设备及介质 - Google Patents
跨站请求伪造攻击防御方法及装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114915462A CN114915462A CN202210474066.9A CN202210474066A CN114915462A CN 114915462 A CN114915462 A CN 114915462A CN 202210474066 A CN202210474066 A CN 202210474066A CN 114915462 A CN114915462 A CN 114915462A
- Authority
- CN
- China
- Prior art keywords
- information
- request
- server
- request interface
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供了一种跨站请求伪造攻击防御方法及装置、电子设备及介质,涉及计算机技术领域。由客户端执行的跨站请求伪造攻击防御方法包括:启动交互插件脚本,通过交互插件脚本设置请求接口的确认位信息;向服务器发送请求信息,接收服务器返回的请求接口的验证码信息,请求信息包括请求接口的确认位信息;通过交互插件脚本,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向服务器返回混合加密信息;在服务器对混合加密信息进行校验处理后,接收服务器返回的请求结果。该方法能够在不影响用户体验的基础上,实现对CSRF攻击的有效防御。
Description
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种跨站请求伪造攻击防御方法及装置、电子设备及计算机可读存储介质。
背景技术
跨站请求伪造(Cross-site request forgery,缩写为CSRF)利用受攻击网域的cookie(即某些网站为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的数据),在使用者不知情的情况下伪造用户的请求,并且通过特定的手段使得该请求在用户的浏览器发出。由于请求携带了用户的cookie信息,请求会成功的被服务器执行,此时攻击者便可以获取或篡改用户的重要信息。
相关技术中,可以采用检查Referer字段(即HTTP请求header的一部分,当浏览器向服务器发送请求的时候,头信息里有包含Referer字段)、输入验证码信息或利用Token(即服务端生成的一串字符串,以作客户端进行请求的一个令牌)信息的处理方式来防御CSRF攻击。
但是,Referer字段有被篡改的风险,无法有效预防CSRF攻击;每次发起请求都要输入验证码信息,降低了用户的使用体验感;若Token信息被获取,CSRF攻击仍能正常发起。因而,相关技术的CSRF攻击防御方法只让客服端或服务器去判断请求真伪,不能在减少用户体验感的基础上有效防御CSRF攻击。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开实施例提供一种跨站请求伪造攻击防御方法及装置、电子设备及计算机可读存储介质,解决只让客服端或服务器去判断请求真伪的问题,能够在不影响用户体验的基础上,实现对CSRF攻击的有效防御。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种跨站请求伪造攻击防御方法,所述方法由客户端执行,包括:启动交互插件脚本,通过所述交互插件脚本设置请求接口的确认位信息;向服务器发送请求信息,接收所述服务器返回的请求接口的验证码信息,所述请求信息包括所述请求接口的确认位信息;通过所述交互插件脚本,对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向所述服务器返回所述混合加密信息;在所述服务器对所述混合加密信息进行校验处理后,接收所述服务器返回的请求结果。
在本公开一些实施例中,所述方法包括:显示信息交互控件,所述信息交互控件用于启动所述交互插件脚本。
在本公开一些实施例中,在获得混合加密信息之后,所述方法还包括:设置所述请求接口的确认位信息为原始值,停用所述交互插件脚本。
在本公开一些实施例中,所述对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,包括:拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,利用加密算法对所述目标拼接信息进行加密,获得所述混合加密信息。
在本公开一些实施例中,所述拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,包括:按照预先指定的位置,将所述请求接口的确认位信息插入所述请求接口的验证码信息中,获得所述目标拼接信息。
在本公开一些实施例中,所述预先指定的位置为根据所述请求接口的验证码信息的首位数字确定的。
根据本公开的另一个方面,提供一种跨站请求伪造攻击防御方法,所述方法由服务器执行,包括:接收客户端发送的请求信息,所述请求信息包含所述客户端通过交互插件脚本设置的请求接口的确认位信息;生成请求接口的验证码信息,向所述客户端返回所述请求接口的验证码信息;接收所述客户端返回的混合加密信息,所述混合解密信息是所述客户端通过所述交互插件脚本对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理生成的;对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果。
在本公开一些实施例中,所述对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果,包括:解密所述混合加密信息,获得解密后的确认位信息和解密后的验证码信息;判断所述解密后的确认位信息和所述请求接口的确认位信息、以及所述解密后的验证码信息和所述请求接口的验证码信息是否相同;若是,则所述服务器确定校验通过,响应所述请求信息,向所述客户端返回所述请求信息的响应结果;若否,则所述服务器确定校验不通过,拒绝所述请求信息,向所述客户端返回拒绝所述请求信息的结果。
根据本公开的又一个方面,提供一种跨站请求伪造攻击防御装置,应用于客户端,包括:确认位信息设置模块,用于启动交互插件脚本,通过所述交互插件脚本设置请求接口的确认位信息;验证码信息接收模块,用于向服务器发送请求信息,接收所述服务器返回的请求接口的验证码信息,所述请求信息包括所述请求接口的确认位信息;信息加密模块,用于通过所述交互插件脚本,对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向所述服务器返回所述混合加密信息;请求结果接收模块,用于在所述服务器对所述混合加密信息进行校验处理后,接收所述服务器返回的请求结果。
根据本公开的又一个方面,提供一种跨站请求伪造攻击防御装置,应用于服务器,包括:请求信息接收模块,用于接收客户端发送的请求信息,所述请求信息包含所述客户端通过交互插件脚本设置的请求接口的确认位信息;验证码信息生成模块,用于生成请求接口的验证码信息,向所述客户端返回所述请求接口的验证码信息;加密信息接收模块,用于接收所述客户端返回的混合加密信息,所述混合解密信息是所述客户端通过所述交互插件脚本对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理生成的;信息校验模块,用于对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述实施例中所述的跨站请求伪造攻击防御方法。
根据本公开的又一个方面,提供一种电子设备,包括:一个或多个处理器;存储装置,配置为存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中所述的跨站请求伪造攻击防御方法。
本公开的实施例提供的技术方案至少带来以下有益效果:客户端先启动交互插件脚本功能,然后通过该脚本设置请求接口的确认位信息,向服务器发送包括确认位信息的请求信息,服务器在接收到该请求信息后对请求不做处理,向客户端返回请求接口的验证码信息,这样客户端可以通过交互插件脚本对该确认位信息和该验证码信息进行拼接加密处理后,向服务器返回混合加密信息,服务器对该混合加密信息进行校验以判断是否响应该请求信息。一方面,客户端通过交互插件脚本与服务器进行信息交互以完成校验,解决了相关技术中只让客户端或服务器判断请求真伪的问题;另一方面,能够在不影响用户体验的基础上有效防御CSRF攻击。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1是根据一示例性实施例示出的实现跨站请求伪造攻击防御方法的系统架构示意图;
图2是根据一示例性实施例示出的应用于客户端的跨站请求伪造攻击防御方法的流程示意图;
图3是根据一示例性实施例示出的应用于服务器的跨站请求伪造攻击防御方法的流程示意图;
图4是根据一示例性实施例示出的跨站请求伪造攻击防御方法的交互过程示意图;
图5是根据又一示例性实施例示出的跨站请求伪造攻击防御方法的交互过程示意图;
图6是根据一示例性实施例示出的应用于客户端的跨站请求伪造攻击防御装置的结构示意图;
图7是根据一示例性实施例示出的应用于服务器的跨站请求伪造攻击防御装置的结构示意图;
图8是根据一示例性实施例示出的跨站请求伪造攻击防御的电子设备的结构框图。
具体实施方式
为了使本领域普通人员更好地理解本公开的技术方案,下面将结合附图,对本公开实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
需要说明的是,本公开所涉及的用户信息,包括但不限于用户设备信息、用户个人信息等,均为经用户授权或者经过各方充分授权的信息。
图1是根据一示例性实施例示出的实现跨站请求伪造攻击防御方法的系统架构示意图。如图1所示,该系统架构可以包括服务器101、网络102和客户端103。网络102用以在客户端103和服务器101之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
在一些可选的实施例中,与服务端101进行数据传输的客户端103可以包括但不限于智能手机、台式计算机、平板电脑、笔记本电脑、智能音箱、数字助理、AR(AugmentedReality,增强现实)设备、VR(Virtual Reality,虚拟现实)设备、智能可穿戴设备等类型的电子设备,或者,客户端103也可以是个人计算机,比如膝上型便携计算机和台式计算机等等。可选的,电子设备上运行的操作系统可以包括但不限于安卓系统、IOS系统、linux、windows等。
服务器101可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。在一些实际应用中,服务器101也可以是网络平台的服务器,网络平台例如可以是交易平台、直播平台、社交平台或者音乐平台等,本公开实施例对此不作限定。其中,服务器可以是一台服务器,也可以是多台服务器形成的集群,本公开对于服务器的具体架构不做限定。
在一些可选的实施例中,客户端103用于实现跨站请求伪造攻击防御方法的过程可以是:客户端103启动交互插件脚本,通过交互插件脚本设置请求接口的确认位信息;客户端103向服务器101发送请求信息,接收服务器101返回的请求接口的验证码信息,该请求信息包括请求接口的确认位信息;客户端103通过交互插件脚本,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向服务器101返回混合加密信息;客户端103在服务器101对混合加密信息进行校验处理后,接收服务器101返回的请求结果。
在一些可选的实施例中,服务器101用于实现跨站请求伪造攻击防御方法的过程可以是:服务器101接收客户端发送的请求信息,该请求信息包含客户端103通过交互插件脚本设置的请求接口的确认位信息;服务器101生成请求接口的验证码信息,向客户端返回请求接口的验证码信息;服务器101接收客户端103返回的混合加密信息,混合解密信息是客户端103通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理生成的;服务器101对混合加密信息进行校验处理,根据校验处理结果对请求信息进行处理,向客户端103返回请求结果。
此外,需要说明的是,图1所示的仅仅是本公开提供的跨站请求伪造攻击防御方法的一种应用环境。图1中的客户端、网络和服务器的数目仅仅是示意性的,根据实际需要,可以具有任意数目的客户端、网络和服务器。
在图1所示的系统架构下,本公开实施例中提供了一种跨站请求伪造攻击防御方法,可以应用但不限于图1所示的客户端,原则上,该方法可以由任意具备计算处理能力的电子设备执行。
图2是根据一示例性实施例示出的应用于客户端的跨站请求伪造攻击防御方法的流程示意图,如图2所示,该方法可以包括以下步骤。
步骤S210,启动交互插件脚本,通过交互插件脚本设置请求接口的确认位信息。
其中,交互插件脚本是指用于客户端与服务器进行交互以完成信息校验的脚本。进一步地,该方法可以包括:显示信息交互控件,信息交互控件用于启动交互插件脚本。也就是说,可以在客户端上显示信息交互控件,通过触发该控件启动交互插件脚本。当然,也可以通过其他方式启动交互插件脚本,比如点击某相关组件会触发交互插件脚本,再如点击某相关插件可以触发交互插件脚本。
在向服务器发送请求信息之前,用户可以通过点击信息交互控件主动发起信息交互操作。在用户点击信息交互控件后,交互插件脚本被启动,这样后续客户端与服务器进行信息交互从而完成信息校验,然后根据校验结果判断是否执行客户端发送的请求操作。下文会详细说明客户端与服务器进行信息交互以及信息校验的过程。
通过交互插件脚本可以设置请求接口的确认位信息。其中,接口的确认位可以是接口的指定确认位,如新增某字段为接口的指定确认位。请求接口是指要执行请求操作对应的接口,如请求信息为查询一小时前的浏览记录,请求接口为浏览记录查询接口,那么请求接口的确认位是指浏览记录查询接口的指定确认位,具体可以是浏览记录查询接口的新增确认位字段。
本公开实施例中,通过交互插件脚本设置请求接口的确认位信息可以是通过交互插件脚本将请求接口的确认位信息从原始值设置为目标值,如将请求接口的确认位信息从原始值0设置为1,再如将请求接口的确认位信息从false设置为true。如果请求接口的确认位信息为目标值,则说明客户端要发起与该请求接口相关的请求操作。此外,通过交互插件脚本设置的请求接口的确认位信息可以是动态变化的,比如用户1在时间t1点击信息交互控件A,启动了交互插件脚本B,通过该交互插件脚本B设置的请求接口的确认位信息为123。然后,用户1在时间t2点击信息交互控件A,启动了交互插件脚本B,通过该交互插件脚本B设置的请求接口的确认位信息为357。
本公开实施例中,用户通过触发信息交互控件主动发起信息交互操作时,即启动交互插件脚本,后续客户端通过交互插件脚本与服务器进行交互,从而可以完成信息校验,然后根据校验结果判断是否执行客户端发送的请求操作,能够保证非用户自身发起的请求不会触发脚本开启。
步骤S220,向服务器发送请求信息,接收服务器返回的请求接口的验证码信息,请求信息包括请求接口的确认位信息。
在步骤S220中,客户端向服务器发送请求信息,该请求信息包括通过交互插件脚本设置的请求接口的确认位信息。这样服务器在接收到请求信息后,可以获取到该确认位信息,后续服务器可以利用该确认位信息进行校验。
服务器在接收到客户端发送的请求信息后,先不对该请求信息进行处理,生成请求接口的验证码信息,然后向客户端发送该请求接口的验证码信息。需要说明的是,服务器生成的请求接口的验证码信息是动态变化的,比如服务器第一次接收到请求信息后,生成的请求接口的验证码信息为568942,服务器第二次接收到请求信息后,生成的请求接口的验证码信息为adhy134。还有,服务器生成的请求接口的验证码信息的格式可以是根据具体的请求接口设定的。比如,对于查询接口1,设置其验证码信息格式为数字和字母的组合,对于查询接口2,设置其验证码信息格式为数字、字母和字符的组合。
步骤S230,通过交互插件脚本,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向服务器返回混合加密信息。
客户端接收到请求接口的验证码信息后,可以通过交互插件脚本,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,获得混合加密信息,然后客户端向服务器发送该混合加密信息,以便服务器根据该混合加密信息进行校验处理。
本公开实施例中,在获得混合加密信息之后,该方法还可以包括:设置请求接口的确认位信息为原始值,停用交互插件脚本。上文已经说明,交互插件脚本是指用于客户端与服务器进行交互以完成信息校验的脚本,在通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理得到混合加密信息后,客服端向服务器发送该混合加密信息,同时可以通过该交互插件脚本将请求接口的确认位信息设置为原始值,以及停用该交互插件脚本。上文还提到,如果请求接口的确认位信息为目标值,则说明客户端要发起与该请求接口相关的请求操作。相应地,如果请求接口的确认位信息从目标值设置为原始值以及停用该交互插件脚本功能,则说明客户端已经将请求信息发送给服务器,以及客户端已经将与该请求信息相关的混合加密信息发送给服务器,还能够避免目标值被修改或者获取,也避免服务器返回的请求接口的验证码信息被修改或者获取。
本公开实施例中,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,可以包括:拼接请求接口的确认位信息和请求接口的验证码信息,获得目标拼接信息,利用加密算法对目标拼接信息进行加密,获得混合加密信息。
进一步地,拼接请求接口的确认位信息和请求接口的验证码信息,获得目标拼接信息,可以包括:按照预先指定的位置,将请求接口的确认位信息插入请求接口的验证码信息中,获得目标拼接信息。
在获取到服务器返回的请求接口的验证码信息后,客户端可以通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接,具体可以按照预先指定的位置进行拼接。
本公开实施例中,预先指定的位置可以是根据请求接口的验证码信息的首位数字确定的。比如,首位数字为1,则每隔1位验证码插入1位确认位信息。假设说,确认位信息是ok,验证码信息是123456,得到目标拼接信息为1o2k3456。再如,首位数字为2,则每隔2位验证码插入1位确认位信息。假设说,确认位信息是ok,验证码信息是213456,得到目标拼接信息为21o34k56。
其中,预先指定的位置还可以为验证码信息的尾部,即将请求接口的确认位信息拼接到请求接口的验证码信息的尾部。比如,确认位信息是ok,验证码信息是123456,得到目标拼接信息为123456ok。预先指定的位置还可以为验证码信息的头部,即将请求接口的确认位信息拼接到请求接口的验证码信息的头部。比如,确认位信息是ok,验证码信息是123456,得到目标拼接信息为ok123456。预先指定的位置还可以为验证码信息的头部和尾部,即将请求接口的确认位信息拆分为两部分,将其中一部分拼接到请求接口的验证码信息的头部,将其中另一部分拼接到请求接口的验证码信息的尾部。比如,确认位信息是ok,验证码信息是123456,得到目标拼接信息为o123456k。当然,还有其他的拼接方式,本公开实施例对此不作限定。
在获得目标拼接信息后,可以通过交互插件脚本对目标拼接信息进行加密,得到混合加密信息。其中,加密算法为可逆加密算法,如base64算法、ascll加密算法。需要说明的是,对于不同接口,可以设置不同的拼接方式和加密算法。
本公开实施例中,可以通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,提升了向服务器返回的信息的安全保密性。并且,在拼接处理中,可以按照预先指定的位置进行拼接,该预先指定位置可以是根据请求接口的验证码信息的首位数字确定的,使得拼接位置的动态变化,进一步提升了返回信息的安全保密性。还有,对于不同接口,可以设置不同的拼接方式和加密算法,从而可以根据接口的具体属性设置拼接方式和加密算法,提升返回信息的安全保密性的同时,还结合了接口的属性,具有实用性。
步骤S240,在服务器对混合加密信息进行校验处理后,接收服务器返回的请求结果。
服务器接收客户端返回的混合加密信息后,可以对该混合加密信息进行校验处理。若校验通过,则向客户端返回请求信息的正常响应结果。若校验不通过,则拒绝该请求信息,向客户端返回拒绝响应。
本公开实施例提供的跨站请求伪造攻击防御方法,客户端先启动交互插件脚本功能,然后通过该脚本设置请求接口的确认位信息,向服务器发送包括确认位信息的请求信息,服务器在接收到该请求信息后对请求不做处理,向客户端返回请求接口的验证码信息,这样客户端可以通过交互插件脚本对该确认位信息和该验证码信息进行拼接加密处理后,向服务器返回混合加密信息,服务器对该混合加密信息进行校验以判断是否响应该请求信息。一方面,客户端通过交互插件脚本与服务器进行信息交互以完成校验,解决了相关技术中只让客户端或服务器判断请求真伪的问题;另一方面,能够在不影响用户体验的基础上有效防御CSRF攻击。
进一步地,交互插件脚本的启用是用户通过触发信息交互控件触发的,后续客户端通过交互插件脚本与服务器进行动态交互,从而可以完成信息校验,然后根据校验结果判断是否执行客户端发送的请求操作,能够保证非用户自身发起的请求不会触发脚本开启。以及,客户端可以通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,提升了向服务器返回的信息的安全保密性。并且,在拼接处理中,可以按照预先指定的位置进行拼接,该预先指定位置可以是根据请求接口的验证码信息的首位数字确定的,使得拼接位置的动态变化,进一步提升了返回信息的安全保密性。还有,对于不同接口,可以设置不同的拼接方式和加密算法,从而可以根据接口的具体属性设置拼接方式和加密算法,提升返回信息的安全保密性的同时,还结合了接口的属性,具有实用性。
基于同一发明构思,在图1所示的系统架构下,本公开实施例还提出一种跨站请求伪造攻击防御方法,可以应用但不限于图1所示的服务器,原则上,该方法可以由任意具备计算处理能力的电子设备执行。
图3是根据一示例性实施例示出的应用于服务器的跨站请求伪造攻击防御方法的流程示意图,如图3所示,该方法可以包括以下步骤。
步骤S310,接收客户端发送的请求信息,请求信息包含客户端通过交互插件脚本设置的请求接口的确认位信息。
服务器可以接收客户端发送的请求信息,并且该请求信息包括客户端通过交互插件脚本设置的请求接口的确认位信息。上文已经说明交互插件脚本、请求接口的确认位信息,此处不再赘述。
步骤S320,生成请求接口的验证码信息,向客户端返回请求接口的验证码信息。
服务器接收到请求信息后,不对该请求信息进行处理,生成请求接口的验证码信息,然后向客户端发送该验证码信息。上文已经说明请求接口的验证码信息,此处不再赘述。
步骤S330,接收客户端返回的混合加密信息,混合解密信息是客户端通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理生成的。
客户端接收到服务器返回的请求接口的验证码信息后,可以通过交互插件脚本对请求接口的验证码信息和请求接口的确认位信息进行拼接加密处理,得到混合加密信息,然后将该混合加密信息发送给服务器。上文已经说明混合加密信息的生成过程,此处不再赘述。
步骤S340,对混合加密信息进行校验处理,根据校验处理结果对请求信息进行处理,向客户端返回请求结果。
进一步地,对混合加密信息进行校验处理,根据校验处理结果对请求信息进行处理,向客户端返回请求结果,可以包括:解密混合加密信息,获得解密后的确认位信息和解密后的验证码信息;判断解密后的确认位信息和请求接口的确认位信息、以及解密后的验证码信息和请求接口的验证码信息是否相同;若是,则服务器确定校验通过,响应请求信息,向客户端返回请求信息的响应结果;若否,则服务器确定校验不通过,拒绝请求信息,向客户端返回拒绝请求信息的结果。
具体的,服务器利用与加密算法相对应的解密算法对混合加密信息进行解密处理,得到解密后的信息。然后,服务器根据拼接方式相对应的提取方式,对解密后的信息进行处理,得到解密后的确认位信息和解密后的验证码信息。接着,服务器判断解密后的确认位信息和请求接口的确认位信息是否相同,以及判断解密后的验证码信息和请求接口的验证码信息是否相同。如果解密后的确认位信息和请求接口的确认位信息相同、且解密后的验证码信息和请求接口的验证码信息也相同,则服务器确定校验通过,否则,服务器确定校验不通过。如果校验通过,则服务器可以响应客户端发送的请求消息,将响应结果发送给客户端。如果校验不通过,则服务器拒绝客户端发送的请求消息,返回拒绝请求。
图4是根据一示例性实施例示出的跨站请求伪造攻击防御方法的交互过程示意图。如图4所示,具体交互过程可以包括以下步骤。
步骤S410:在用户点击客户端显示的信息交互插件后,客户端启动交互插件脚本,通过该交互插件脚本设置请求接口的确认位信息。
步骤S420:客户端向服务器发送请求信息,该请求信息包括请求接口的确认位信息。
步骤S430:服务器接收到客户端发送的请求信息后,对该请求信息不做处理,生成请求接口的验证码信息。
步骤S440:服务器向客户端发送该请求接口的验证码信息。
步骤S450:客户端通过交互插件脚本,对请求接口的验证码信息和请求接口的确认位信息进行拼接加密处理,得到混合加密信息。
步骤S460:客户端向服务器发送该混合加密信息,并且设置请求接口的确认位信息为原始值,以及停用该交互插件脚本。
步骤S470:服务器对该混合加密信息进行解密处理,然后根据请求接口的验证码信息和请求接口的确认位信息,对解密后的信息进行校验处理。
步骤S480:服务器向客户端发送请求信息的响应结果。如果校验通过,该响应结果为请求信息的正常响应信息,如果校验不通过,该响应结果为拒绝响应。
下面列举具体实施例,来对本公开实施例中提供的跨站请求伪造攻击防御方法进行说明。其中,交互插件脚本为指定js脚本,请求信息为查询条件信息。图5是根据又一示例性实施例示出的跨站请求伪造攻击防御方法的交互过程示意图。如图5所示,具体交互过程可以包括以下步骤。
步骤S510:在用户点击客户端显示的信息交互插件后,客户端启动指定js脚本,通过该指定js脚本设置查询接口的确认位信息为true。
步骤S520:客户端向服务器发送查询条件信息,该查询条件信息包括查询接口的确认位信息true。该查询条件信息可以是用户输入的,包括查询时间、查询条件以及查询的日志类型等。
步骤S530:服务器接收到客户端发送的查询条件信息后,对该查询条件信息不做处理,生成查询接口的验证码信息456951。
步骤S540:服务器向客户端发送该查询接口的验证码信息456951。
步骤S550:客户端通过指定js脚本,对查询接口的验证码信息456951和查询接口的确认位信息true进行拼接加密处理,得到混合加密信息adjeuxgar。
步骤S560:客户端向服务器发送该混合加密信息adjeuxgar,并且设置查询接口的确认位信息为false,以及停用该js脚本的功能。
步骤S570:服务器对该混合加密信息adjeuxgar进行解密处理,得到解密后的验证码信息456951和解密后的确认位信息true。
步骤S580:服务器判断查询接口的验证码信息456951和解密后的验证码信息456951相同、以及查询接口的确认位信息true和解密后的确认位信息true相同,确认校验通过。
步骤S590:服务器向客户端返回查询条件信息对应的查询结果。
本公开实施例的跨站请求伪造攻击防御方法,在用户触发信息交互控件后启动交互插件脚本功能,即只有在用户主动发起信息交互操作时插件脚本功能才会打开,保证了非用户自身发起的请求不会触发脚本开启。以及,客户端通过该交互插件脚本设置请求接口的确认位信息,向服务器发送包括确认位信息的请求信息;服务器在接收到该请求信息后对请求不做处理,向客户端返回请求接口的验证码信息;然后客户端可以通过交互插件脚本对该确认位信息和该验证码信息进行拼接加密处理后,向服务器返回混合加密信息;服务器对该混合加密信息进行校验以判断是否响应该请求信息。一方面,客户端通过交互插件脚本与服务器进行信息交互以完成校验,解决了相关技术中只让客户端或服务器判断请求真伪的问题;另一方面,能够在不影响用户体验的基础上有效防御CSRF攻击。
基于同一发明构思,本公开实施例中该提供了一种跨站请求伪造攻击防御装置,该装置应用于客户端,如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实时可以参见上述方法实施例的实施,重复之处不再赘述。
图6是根据一示例性实施例示出的应用于客户端的跨站请求伪造攻击防御装置的结构示意图。如图6所示,该装置600可以包括:确认位信息设置模块610、验证码信息接收模块620、信息加密模块630和请求结果接收模块640。
该确认位信息设置模块610可用于:启动交互插件脚本,通过交互插件脚本设置请求接口的确认位信息。该验证码信息接收模块620可用于:向服务器发送请求信息,接收服务器返回的请求接口的验证码信息,其中,请求信息包括请求接口的确认位信息。该信息加密模块630可用于:通过交互插件脚本,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向服务器返回混合加密信息。该请求结果接收模块640可用于:在服务器对混合加密信息进行校验处理后,接收服务器返回的请求结果。
在本公开一些实施例中,该装置600还可以包括显示模块650,用于显示信息交互控件,其中,信息交互控件可以用于启动交互插件脚本。
在本公开一些实施例中,该确认位信息设置模块610还可用于:设置请求接口的确认位信息为原始值,停用交互插件脚本。
在本公开一些实施例中,该信息加密模块630还可用于:拼接请求接口的确认位信息和请求接口的验证码信息,获得目标拼接信息,利用加密算法对目标拼接信息进行加密,获得混合加密信息。
在本公开一些实施例中,该信息加密模块630还可用于:按照预先指定的位置,将请求接口的确认位信息插入请求接口的验证码信息中,获得目标拼接信息。其中,预先指定的位置可以为根据请求接口的验证码信息的首位数字确定的。
基于同一发明构思,本公开实施例中该提供了一种跨站请求伪造攻击防御装置,该装置应用于服务器,如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实时可以参见上述方法实施例的实施,重复之处不再赘述。
图7是根据一示例性实施例示出的应用于服务器的跨站请求伪造攻击防御装置的结构示意图。如图7所示,该装置700可以包括:请求信息接收模块710、验证码信息生成模块720、加密信息接收模块730和信息校验模块740。
该请求信息接收模块710可用于:接收客户端发送的请求信息,其中,请求信息包含客户端通过交互插件脚本设置的请求接口的确认位信息。该验证码信息生成模块720可用于:生成请求接口的验证码信息,向客户端返回请求接口的验证码信息。该加密信息接收模块730可用于:接收客户端返回的混合加密信息,其中,混合解密信息是客户端通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理生成的。该信息校验模块740可用于:对混合加密信息进行校验处理,根据校验处理结果对请求信息进行处理,向客户端返回请求结果。
在本公开一些实施例中,该信息校验模块740还可用于:解密混合加密信息,获得解密后的确认位信息和解密后的验证码信息;判断解密后的确认位信息和请求接口的确认位信息、以及解密后的验证码信息和请求接口的验证码信息是否相同;若是,则服务器确定校验通过,响应请求信息,向客户端返回请求信息的响应结果;若否,则服务器确定校验不通过,拒绝请求信息,向客户端返回拒绝请求信息的结果。
图8是根据一示例性实施例示出的跨站请求伪造攻击防御的电子设备的结构框图。下面参照图8来描述根据本公开的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830、显示单元840。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元810执行,使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
当本公开实施例中提供的电子设备800为客户端时,上述处理单元810可以执行上述实施例中的如下步骤:启动交互插件脚本,通过交互插件脚本设置请求接口的确认位信息;向服务器发送请求信息,接收服务器返回的请求接口的验证码信息,其中,请求信息包括请求接口的确认位信息;通过交互插件脚本,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向服务器返回混合加密信息;在服务器对混合加密信息进行校验处理后,接收服务器返回的请求结果。
当本公开实施例中提供的电子设备800为服务器时,上述处理单元810可以执行上述实施例中的如下步骤:接收客户端发送的请求信息,其中,请求信息包含客户端通过交互插件脚本设置的请求接口的确认位信息;生成请求接口的验证码信息,向客户端返回请求接口的验证码信息;接收客户端返回的混合加密信息,其中,混合解密信息是客户端通过交互插件脚本对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理生成的;对混合加密信息进行校验处理,根据校验处理结果对请求信息进行处理,向客户端返回请求结果。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备870(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
根据本公开实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (12)
1.一种跨站请求伪造攻击防御方法,其特征在于,所述方法由客户端执行,包括:
启动交互插件脚本,通过所述交互插件脚本设置请求接口的确认位信息;
向服务器发送请求信息,接收所述服务器返回的请求接口的验证码信息,所述请求信息包括所述请求接口的确认位信息;
通过所述交互插件脚本,对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向所述服务器返回所述混合加密信息;
在所述服务器对所述混合加密信息进行校验处理后,接收所述服务器返回的请求结果。
2.根据权利要求1所述的方法,其特征在于,所述方法包括:显示信息交互控件,所述信息交互控件用于启动所述交互插件脚本。
3.根据权利要求1所述的方法,其特征在于,在获得混合加密信息之后,所述方法还包括:设置所述请求接口的确认位信息为原始值,停用所述交互插件脚本。
4.根据权利要求1所述的方法,其特征在于,所述对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,包括:拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,利用加密算法对所述目标拼接信息进行加密,获得所述混合加密信息。
5.根据权利要求4所述的方法,其特征在于,所述拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,包括:按照预先指定的位置,将所述请求接口的确认位信息插入所述请求接口的验证码信息中,获得所述目标拼接信息。
6.根据权利要求5所述的方法,其特征在于,所述预先指定的位置为根据所述请求接口的验证码信息的首位数字确定的。
7.一种跨站请求伪造攻击防御方法,其特征在于,所述方法由服务器执行,包括:
接收客户端发送的请求信息,所述请求信息包含所述客户端通过交互插件脚本设置的请求接口的确认位信息;
生成请求接口的验证码信息,向所述客户端返回所述请求接口的验证码信息;
接收所述客户端返回的混合加密信息,所述混合解密信息是所述客户端通过所述交互插件脚本对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理生成的;
对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果。
8.根据权利要求7所述的方法,其特征在于,所述对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果,包括:
解密所述混合加密信息,获得解密后的确认位信息和解密后的验证码信息;
判断所述解密后的确认位信息和所述请求接口的确认位信息、以及所述解密后的验证码信息和所述请求接口的验证码信息是否相同;
若是,则所述服务器确定校验通过,响应所述请求信息,向所述客户端返回所述请求信息的响应结果;
若否,则所述服务器确定校验不通过,拒绝所述请求信息,向所述客户端返回拒绝所述请求信息的结果。
9.一种跨站请求伪造攻击防御装置,其特征在于,应用于客户端,包括:
确认位信息设置模块,用于启动交互插件脚本,通过所述交互插件脚本设置请求接口的确认位信息;
验证码信息接收模块,用于向服务器发送请求信息,接收所述服务器返回的请求接口的验证码信息,所述请求信息包括所述请求接口的确认位信息;
信息加密模块,用于通过所述交互插件脚本,对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向所述服务器返回所述混合加密信息;
请求结果接收模块,用于在所述服务器对所述混合加密信息进行校验处理后,接收所述服务器返回的请求结果。
10.一种跨站请求伪造攻击防御装置,其特征在于,应用于服务器,包括:
请求信息接收模块,用于接收客户端发送的请求信息,所述请求信息包含所述客户端通过交互插件脚本设置的请求接口的确认位信息;
验证码信息生成模块,用于生成请求接口的验证码信息,向所述客户端返回所述请求接口的验证码信息;
加密信息接收模块,用于接收所述客户端返回的混合加密信息,所述混合解密信息是所述客户端通过所述交互插件脚本对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理生成的;
信息校验模块,用于对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果。
11.一种电子设备,其特征在于,包括:一个或多个处理器;存储装置,配置为存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至8中任一项所述的方法。
12.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210474066.9A CN114915462B (zh) | 2022-04-29 | 2022-04-29 | 跨站请求伪造攻击防御方法及装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210474066.9A CN114915462B (zh) | 2022-04-29 | 2022-04-29 | 跨站请求伪造攻击防御方法及装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114915462A true CN114915462A (zh) | 2022-08-16 |
| CN114915462B CN114915462B (zh) | 2023-09-08 |
Family
ID=82765670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210474066.9A Active CN114915462B (zh) | 2022-04-29 | 2022-04-29 | 跨站请求伪造攻击防御方法及装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114915462B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104766013A (zh) * | 2015-04-10 | 2015-07-08 | 北京理工大学 | 一种基于跳表的跨站脚本攻击防御方法 |
| CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
| WO2016015436A1 (zh) * | 2014-07-28 | 2016-02-04 | 百度在线网络技术(北京)有限公司 | 平台授权方法、平台服务端、应用客户端及系统和存储介质 |
| CN106790238A (zh) * | 2017-01-19 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种跨站请求伪造csrf防御认证方法和装置 |
| CN108989325A (zh) * | 2018-08-03 | 2018-12-11 | 华数传媒网络有限公司 | 加密通信方法、装置及系统 |
| CN109040339A (zh) * | 2018-07-27 | 2018-12-18 | 深圳市腾讯网络信息技术有限公司 | 基于ajax的跨域请求处理方法、装置及设备 |
| CN110233839A (zh) * | 2019-06-10 | 2019-09-13 | 北京奇艺世纪科技有限公司 | 一种数据处理系统及方法 |
| CN110958239A (zh) * | 2019-11-26 | 2020-04-03 | 腾讯科技(深圳)有限公司 | 访问请求的校验方法和装置、存储介质及电子装置 |
| CN111343221A (zh) * | 2018-12-18 | 2020-06-26 | 北京奇虎科技有限公司 | 基于通用接口框架的命令模式下的业务处理方法和装置 |
| CN112346989A (zh) * | 2020-11-26 | 2021-02-09 | 网易(杭州)网络有限公司 | 一种接口测试方法、装置、介质和计算设备 |
| CN112600817A (zh) * | 2020-12-08 | 2021-04-02 | 四川长虹电器股份有限公司 | 前端应用请求接口时的签名认证方法 |
| CN112866265A (zh) * | 2021-01-27 | 2021-05-28 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种csrf攻击防护方法及装置 |
| CN113343278A (zh) * | 2021-07-05 | 2021-09-03 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防御csrf攻击的登录请求校验方法及装置 |
-
2022
- 2022-04-29 CN CN202210474066.9A patent/CN114915462B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
| WO2016015436A1 (zh) * | 2014-07-28 | 2016-02-04 | 百度在线网络技术(北京)有限公司 | 平台授权方法、平台服务端、应用客户端及系统和存储介质 |
| CN104766013A (zh) * | 2015-04-10 | 2015-07-08 | 北京理工大学 | 一种基于跳表的跨站脚本攻击防御方法 |
| CN106790238A (zh) * | 2017-01-19 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种跨站请求伪造csrf防御认证方法和装置 |
| CN109040339A (zh) * | 2018-07-27 | 2018-12-18 | 深圳市腾讯网络信息技术有限公司 | 基于ajax的跨域请求处理方法、装置及设备 |
| CN108989325A (zh) * | 2018-08-03 | 2018-12-11 | 华数传媒网络有限公司 | 加密通信方法、装置及系统 |
| CN111343221A (zh) * | 2018-12-18 | 2020-06-26 | 北京奇虎科技有限公司 | 基于通用接口框架的命令模式下的业务处理方法和装置 |
| CN110233839A (zh) * | 2019-06-10 | 2019-09-13 | 北京奇艺世纪科技有限公司 | 一种数据处理系统及方法 |
| CN110958239A (zh) * | 2019-11-26 | 2020-04-03 | 腾讯科技(深圳)有限公司 | 访问请求的校验方法和装置、存储介质及电子装置 |
| CN112346989A (zh) * | 2020-11-26 | 2021-02-09 | 网易(杭州)网络有限公司 | 一种接口测试方法、装置、介质和计算设备 |
| CN112600817A (zh) * | 2020-12-08 | 2021-04-02 | 四川长虹电器股份有限公司 | 前端应用请求接口时的签名认证方法 |
| CN112866265A (zh) * | 2021-01-27 | 2021-05-28 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种csrf攻击防护方法及装置 |
| CN113343278A (zh) * | 2021-07-05 | 2021-09-03 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防御csrf攻击的登录请求校验方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| STANISLAV KASCHEEV: "The Detecting Cross-Site Scripting (XSS) Using Machine Learning Methods", 《2020 GLOBAL SMART INDUSTRY CONFERENCE (GLOSIC)》 * |
| 吴安彬: "基于链接分析的CSRF检测技术研究", 《中国优秀硕士学位论文全文数据库》 * |
| 盛剑涛等: "基于组合分类器的恶意域名检测技术", 《电信科学》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114915462B (zh) | 2023-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6545136B2 (ja) | ウェブページの暗号化送信のためのシステム及び方法 | |
| CA2926128C (en) | Authorization of server operations | |
| US10726111B2 (en) | Increased security using dynamic watermarking | |
| CN110492990A (zh) | 区块链场景下的私钥管理方法、装置及系统 | |
| US10581806B2 (en) | Service providing method, service requesting method, information processing device, and client device | |
| CN109660534B (zh) | 基于多商户的安全认证方法、装置、电子设备及存储介质 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| US11997210B2 (en) | Protection of online applications and webpages using a blockchain | |
| CN112689014A (zh) | 一种双全工通信方法、装置、计算机设备和存储介质 | |
| CN114363088B (zh) | 用于请求数据的方法和装置 | |
| CN113630412B (zh) | 资源下载方法、资源下载装置、电子设备以及存储介质 | |
| CN111249740A (zh) | 一种资源数据的访问方法及系统 | |
| CN112825521A (zh) | 区块链应用可信身份管理方法、系统、设备及存储介质 | |
| CN112566121B (zh) | 一种防止攻击的方法及服务器、存储介质 | |
| CN108235067B (zh) | 一种视频流地址的鉴权方法及装置 | |
| CN112073185B (zh) | 云游戏安全传输方法及装置 | |
| KR20100019165A (ko) | 인터넷뱅킹 서비스 제공 시스템 및 방법 | |
| CN114915462B (zh) | 跨站请求伪造攻击防御方法及装置、电子设备及介质 | |
| CN114938313A (zh) | 一种基于动态令牌的人机识别方法及装置 | |
| CN114117404A (zh) | 一种用户认证方法、装置、设备、系统及存储介质 | |
| CN112583816A (zh) | 登录验证方法、装置、电子设备和存储介质 | |
| CN113824693B (zh) | 多媒体数据分享方法、装置、系统、电子设备和存储介质 | |
| CN112866226B (zh) | 网络安全防护方法和装置 | |
| CN114553570B (zh) | 生成令牌的方法、装置、电子设备及存储介质 | |
| CN117290892A (zh) | 保障数据安全的方法、装置、设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |