WO2014153959A1 - 用于防止跨站点请求伪造的方法、相关装置及系统 - Google Patents
用于防止跨站点请求伪造的方法、相关装置及系统 Download PDFInfo
- Publication number
- WO2014153959A1 WO2014153959A1 PCT/CN2013/086413 CN2013086413W WO2014153959A1 WO 2014153959 A1 WO2014153959 A1 WO 2014153959A1 CN 2013086413 W CN2013086413 W CN 2013086413W WO 2014153959 A1 WO2014153959 A1 WO 2014153959A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- conversion
- page
- cookie information
- request message
- server
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000006243 chemical reaction Methods 0.000 claims abstract description 333
- 235000014510 cooky Nutrition 0.000 claims abstract description 158
- 238000013515 script Methods 0.000 claims abstract description 75
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 72
- 239000000284 extract Substances 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 2
- 230000002265 prevention Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000001960 triggered effect Effects 0.000 description 5
- 230000007704 transition Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例公开了一种用于防止跨站点请求伪造的方法、终端、服务器以及系统,其中,该用于防止跨站点请求伪造的方法包括:客户端在接收到浏览器的页面消息时,获取发起该页面消息的目标网页页面的 cookie 信息;客户端若接收到设置在目标网页页面上的转换脚本生成的一第一转换标识,则生成包括第一转换标识和 cookie 信息的页面请求消息;客户端将页面请求消息发送给服务器,使服务器根据 cookie 信息包括的用户标识和第一转换标识对页面请求消息进行鉴权;其中,所述第一转换标识是转换脚本根据转换算法对从目标网页页面的 cookie 信息提取的用户标识进行转换后得到的。采用本发明,能够有效地防止 CSRF,并可较好地保证了用户的上网安全。
Description
一 一
用于防止跨站点请求伪造的方法、 相关装置及系统 本专利申请要求 2013 年 03 月 29 日提交的中国专利申请号为 201310108023.X, 发明名称为 "用于防止跨站点请求伪造的方法、 相关装置及 系统" 的优先权, 该申请的全文以引用的方式并入本申请中。 技术领域
本发明涉及一种计算机技术领域,尤其涉及一种用于防止跨站点请求伪造 的方法、 相关装置及系统。 背景技术
CSRF ( Cross-site request forgery, 跨站点请求伪造 )是指第三方网站欺骗 用户的浏览器, 根据浏览器中用户的 cookie信息伪造 HTTP请求发送给某一 目标站点, 从而达到利用用户的 cookie信息中的标识、 登录信息等对目标站 点的服务器进行诸如用户名修改等操作,使得在用户不知情的情况下对该用户 的某些信息进行修改。
目前防止 CSRF的现有技术采用的方案为:服务器预先通过种 cookie的方 式, 为客户端中浏览器打开的某一网页页面种上一个标识(称为 basekey ), 浏 览器的该网页页面在请求相应服务时, 浏览器都要从 cookie里边取出该标识, 并放在请求参数里边发送给服务器。 服务器根据请求参数中的 basekey, 可以 知道该请求的合法性。
然而, 现有技术中,服务器分配的 cookie信息植入的标识 basekey是服务 器通过一定转换算法直接生成的,恶意程序或者脚本等还是有可能根据服务器 相同的算法计算得到一个标识与本网页标识 basekey相同, 这就使得 CSRF的 防止功能无效, 给用户带来损失。 发明内容
在现有技术中,由于一些恶意程序或者脚本等可根据服务器相同的算法计 算得到一个与本网页标识 basekey 相同的标识, 进而导致无法有效地防止 CSRF, 会给用户带来损失。
有鉴于此,根据本发明实施例的一个方面,提供一种用于防止跨站点请求
- - 伪造的方法、 相关装置及系统, 可以较为有效地防止 CSRF。
所述种用于防止跨站点请求伪造的方法, 包括:
客户端在接收到浏览器的页面消息时,获取发起该页面消息的目标网页页 面的 cookie信息;
客户端若接收到设置在所述目标网页页面上的转换脚本生成的一第一转 换标识, 则生成包括所述第一转换标识和所述 cookie信息的页面请求消息; 及
客户端将所述页面请求消息发送给服务器,使所述服务器根据所述 cookie 信息包括的用户标识和所述第一转换标识对所述页面请求消息进行鉴权;
其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网 页页面的 cookie信息提取的用户标识进行转换后得到的。
其中, 所述方法还包括: 客户端若没有接收到设置在所述目标网页页面上 的转换脚本生成的第一转换标识, 则生成包括所述 cookie信息的页面请求消 息发送给服务器。
其中, 所述服务器根据所述 cookie信息包括的用户标识和所述第一转换 标识对所述页面请求消息进行鉴权包括:
所述服务器在所述页面请求消息中包括 cookie信息和第一转换标识时, 采用与所述目标网页页面上的转换脚本协商的转换算法对从所述 cookie信息 提取的用户标识进行转换得到一第二转换标识,将该第二转换标识与所述第一 转换标识进行比较, 若两者匹配, 则鉴权通过; 及
所述服务器在所述页面请求消息中包括 cookie信息或者所述第二转换标 识与所述第一转换标识不匹配时, 则鉴权失败。
其中, 所述客户端在接收到浏览器的页面消息时, 获取发起该页面消息的 目标网页页面的 cookie信息的步骤之前, 还包括:
客户端向所述服务器发送连接请求; 及
客户端接收所述服务器根据所述连接请求返回的包括用户标识的 cookie 信息。
相应地,根据本发明的另一方面,提供了一种用于防止跨站点请求伪造的 方法, 包括:
服务器在接收到客户端的关于目标网页页面的页面请求消息时,若所述页
- - 面请求消息中包括一第一转换标识和所述目标网页页面的 cookie信息, 从所 述 cookie信息提取用户标识;
采用与客户端中设置在所述目标网页页面上的转换脚本协商的转换算法 对所述用户标识进行转换, 得到一第二转换标识; 及
若所述第二转换标识与所述第一转换标识匹配, 则鉴权成功, 响应所述页 面请求消息;
其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网 页页面的 cookie信息提取的用户标识进行转换后得到的。
其中, 所述方法还包括: 若所述页面请求消息中包括 cookie信息或者所 述第二转换标识与所述第一转换标识不匹配时, 则确定鉴权失败。
其中, 所述服务器在接收到客户端的关于目标网页页面的页面请求消息 时, 若所述页面请求消息中包括第一转换标识和所述目标网页页面的 cookie 信息, 从所述 cookie信息提取用户标识的步骤之前, 还包括:
服务器接收所述客户端发送的关于所述目标网页页面的连接请求; 服务器在对所述连接请求鉴权通过后,响应所述连接请求向所述客户端返 回包括用户标识的 cookie信息。
相应地,根据本发明的再方面,还提供了一种用于防止跨站点请求伪造的 方法, 包括:
客户端在接收到浏览器的页面消息时,获取发起该页面消息的目标网页页 面的 cookie信息;
客户端若接收到设置在所述目标网页页面上的转换脚本生成的一第一转 换标识, 则生成包括所述第一转换标识和所述 cookie信息的页面请求消息; 所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网页页面的 cookie信息提取的用户标识进行转换后得到的;
客户端将所述页面请求消息发送给服务器;
服务器接收到页面请求消息后, 从所述页面请求消息的 cookie信息中提 取用户标识;
服务器采用与所述目标网页页面上的转换脚本协商的转换算法对获取的 用户标识进行转换得到一第二转换标识; 及
服务器在判定所述第二转换标识与所述页面请求消息中的第一转换标识
- - 相匹配时, 响应所述页面请求消息。
相应地,根据本发明的一个方面,提供了一种用于防止跨站点请求伪造的 客户端, 包括:
获取模块,在接收到浏览器的页面消息时, 获取发起该页面消息的目标网 页页面的 cookie信息;
生成模块,若接收到设置在所述目标网页页面上的转换脚本生成的一第一 转换标识, 则生成包括所述第一转换标识和所述 cookie信息的页面请求消息; 及
发送模块, 将所述页面请求消息发送给服务器, 使所述服务器根据所述 cookie信息包括的用户标识和第一转换标识对所述页面请求消息进行鉴权; 其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网 页页面的 cookie信息提取的用户标识进行转换后得到的。
其中, 所述生成模块, 若没有接收到设置在所述目标网页页面上的转换脚 本生成的第一转换标识, 则还可生成包括所述 cookie信息的页面请求消息发 送给服务器。
其中, 所述发送模块还向所述服务器发送连接请求。
其中, 所述客户端还包括: 接收模块, 接收所述服务器根据所述连接请求 返回的包括用户标识的 cookie信息。
相应地,根据本发明的一个方面,还提供了一种用于防止跨站点请求伪造 的服务器, 包括:
提取模块,在接收到客户端的关于目标网页页面的页面请求消息时, 若所 述页面请求消息中包括一第一转换标识和所述目标网页页面的 cookie信息, 从所述 cookie信息提取用户标识;
转换模块,采用与客户端中设置在所述目标网页页面上的转换脚本协商的 转换算法对所述用户标识进行转换, 得到一第二转换标识; 及
响应模块, 若所述第二转换标识与所述第一转换标识匹配, 则鉴权成功, 响应所述页面请求消息;
其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网 页页面的 cookie信息提取的用户标识进行转换后得到的。
其中, 所述服务器还包括:
- - 接收模块, 接收所述客户端发送的关于所述目标网页页面的连接请求。 其中, 所述服务器还包括:
处理模块,在对所述连接请求鉴权通过后, 响应所述连接请求向所述客户 端返回包括用户标识的 cookie信息。
相应地,根据本发明的一个方面,还提供了一种用于防止跨站点请求伪造 的系统, 包括: 客户端和服务器, 其中,
所述客户端,在接收到浏览器的页面消息时, 获取发起该页面消息的目标 网页页面的 cookie信息; 若接收到设置在所述目标网页页面上的转换脚本生 成的一第一转换标识, 则生成包括所述第一转换标识和所述 cookie信息的页 面请求消息;所述第一转换标识是所述转换脚本根据预置的转换算法对从目标 网页页面的 cookie信息提取的用户标识进行转换后得到的; 将所述页面请求 消息发送给所述服务器;
所述服务器, 用于接收到页面请求消息后, 从所述页面请求消息的 cookie 信息中提取用户标识;采用与所述目标网页页面上的转换脚本协商的转换算法 对获取的用户标识进行转换得到一第二转换标识;在判定所述第二转换标识与 所述页面请求消息中的第一转换标识相匹配时, 响应所述页面请求消息。
由上面的技术方案可知,在本发明的上述各方面中, 用户通过客户端需要 发起关于某个网页页面的页面请求时,客户端通过浏览器不仅需要发送该网页 页面的 cookie消息, 而且还需要采用转换算法对 cookie消息中的用户标识进 行转换得到转换标识, 服务器则根据转换标识和 cookie 中的用户标识来对该 页面请求进行鉴权。由于转换标识是客户端根据转换算法和用户标识结合计算 得到, 如此恶意程序或者链接仅凭转换算法是不能够得到转换标识, 因此, 根 据本发明的各个方面, 本发明能够有效地防止 CSRF, 较好地保证了用户的上 网安全, 满足安全需求。 附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作筒单地介绍,显而易见地, 下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
- - 图 1 是根据本发明的一个实施例的一种用于防止跨站点请求伪造的方法 的流程示意图;
图 2是根据本发明的另一个实施例的一种用于防止跨站点请求伪造的方 法的流程示意图;
图 3 是根据本发明的再一个实施例的一种用于防止跨站点请求伪造的方 法的流程示意图;
图 4是根据本发明的一个实施例的一种用于防止跨站点请求伪造的系统 的结构示意图;
图 5 是根据本发明的一个实施例的一种用于防止跨站点请求伪造的客户 端的结构示意图;
图 6是根据本发明的一个实施例的一种用于防止跨站点请求伪造的服务 器的结构示意图。 具体实施方式
下面将结合本发明实施例中的附图详细描述本发明的各个实施例, 显然, 所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。基于本发 明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所 有其他实施例, 都属于本发明保护的范围。
请参见图 1 , 图 1是根据本发明的一个实施例的一种用于防止跨站点请求 伪造的方法的流程示意图。在本发明的实施例中, 所述方法可应用于当前使用 的各类网页应用中, 并通过客户端与服务器结合实现防止 CSRF的功能。 具体 的, 本发明实施例的所述方法可至少包括从步骤 S101开始的步骤。
在步骤 S101 : 客户端在接收到浏览器的页面消息时, 获取发起该页面消 息的目标网页页面的 cookie信息。
在步骤 S102: 客户端若接收到设置在所述目标网页页面上的转换脚本生 成的一第一转换标识, 则生成包括所述第一转换标识和所述 cookie信息的页 面请求消息。在本发明的实施例中, 所述第一转换标识是所述转换脚本根据预 置的转换算法对从目标网页页面的 cookie信息提取的用户标识进行转换后得 到的。
在本发明的一个实施例中,所述转换脚本可以是由发布所述目标网页页面
的服务商在生成所述目标网页页面时, 加载到所述目标网页页面上的。 当然, 所述转换脚本也可以是客户端在请求所述目标网页页面时,由服务器自动加载 到所述目标网页页面上的。
所述步骤 S101中的页面消息可以是用户通过点击设置在目标网页页面上 的诸如修改链接等的按鈕时, 由该目标网页页面发出的。
在所述步骤 S102中, 若所述页面消息是用户通过点击设置在目标网页页 面上的诸如修改链接等的按鈕时, 由该目标网页页面发出, 则设置在所述目标 网页页面上的转换脚本会在检测到该点击操作时, 从目标网页页面的 cookie 信息提取用户标识, 并按照预置的转换算法对提取的用户标识进行转换, 生成 所述第一转换标识。
所述 cookie信息中的用户标识可以是用户名和 /或登录关键字 key, 即用 户在该目标网页页面登录某类应用的用户名和 /或登录关键字 key信息。
所述转换算法可以包括但不局限于哈希 HASH算法, 具体为, 该转换算 法可以采取 DJB HASH算法对提取到的用户标识进行哈希转换, 得到新的如 字符标识信息等第一转换标识,并生成包括该第一转换标识和所述目标网页页 面的 cookie信息的 HTTP请求及页面请求消息。
进一步的, 在 CSRF发生时, 所述步骤 S101中的页面消息也可以是用户 在打开其他网页页面时,由其他网页上自动运行的恶意链接或恶意程序触发所 述目标网页页面发出的。
而若页面消息是用户在打开其他网页页面时,由其他网页上自动运行的恶 意链接或恶意程序触发所述目标网页页面发出的, 那么, 由现有技术的同源策 略可知,其他网页上自动运行的恶意链接或恶意程序由于其对应的域名、协议、 端口等与所述目标网页页面的并不相同。 因此, 其他网页上自动运行的恶意链 接或恶意程序并不能够触发所述目标网页页面上的转换脚本工作,也不能够获 取到所述目标网页页面的 cookie信息中的用户标识以进行转换, 因此, 客户 端不会接收到设置在所述目标网页页面上的转换脚本生成的第一转换标识。此 时, 客户端根据页面消息, 仅能生成包括所述目标网页页面的 cookie信息的 页面请求消息。
在步骤 S103: 客户端将所述页面请求消息发送给服务器。
发送的页面请求消息为包括所述第一转换标识和所述目标网页页面的
- - cookie信息的页面请求消息, 或者为包括 cookie信息的页面请求消息。
在步骤 S104: 服务器接收到页面请求消息后, 从所述页面请求消息的 cookie信息中提取用户标识。
在步骤 S105: 服务器采用与所述目标网页页面上的转换脚本协商的转换 算法对获取的用户标识进行转换得到一第二转换标识。
在步骤 S106: 服务器在判定所述第二转换标识与所述页面请求消息中的 第一转换标识相匹配时, 响应所述页面请求消息。
在本发明的一个实施例中, 所述服务器在接收到页面请求消息后,按照现 有的识别方式对该页面请求消息(HTTP请求)进行识别, 确定发起该页面请 求消息的客户端、 浏览器以及浏览器上与该页面请求消息的目标网页页面。
在所述步骤 S104中, 若所述页面请求消息中包括第一转换标识和 cookie 信息, 则从页面请求消息中的 cookie信息中获取用户标识, 步骤 S105采用与 所述转换脚本相同的转换算法对用户标识进行转换, 得到所述第二转换标识。 当然, 步骤 S105也可以采用其他的与客户端协商的转换算法, 以便于客户端 和服务器端转换得到的转换标识进行核对匹配。
在所述步骤 S106中, 得到所述第二转换标识后, 从所述页面请求消息相 应字段中提取第一转换标识, 将两者进行比较, 如果相同, 则确定该页面请求 消息合法, 响应该页面请求消息进行相应的增、 删、 查、 改等操作; 而如果不 相同, 则该页面请求消息为非法操作, 拒绝该页面请求消息所请求的操作, 必 要时还可以向对应用户发出报警,如向预先在所述目标网页页面上设置的报告 区发出报警信息。
当然,所述服务器也可以先从页面请求消息的相应字段中提取出第一转换 标识, 然后再执行所述步骤 S106得到第二转换标识, 最后执行步骤 S107。
若所述页面请求消息中仅包括 cookie信息, 则可以直接判定该页面请求 消息为非法操作, 鉴权失败。 同样可以向对应用户发出报警, 如向预先在所述 目标网页页面上设置的报告区发出报警信息。
在本发明的一个实施例中,用户通过客户端需要发起关于某个网页页面的 页面请求时, 客户端通过浏览器不仅需要发送该网页页面的 cookie 消息, 而 且还需要采用转换算法对 cookie 消息中的用户标识进行转换得到转换标识, 服务器则根据转换标识和 cookie 中的用户标识来对该页面请求进行鉴权。 由
- - 于转换标识是客户端根据转换算法和用户标识结合计算得到, 因此, 恶意程序 或者链接仅凭转换算法是不能够得到转换标识, 如此即可能够有效地防止
CSRF, 并较好地保证了用户的上网安全, 满足安全需求。
以上对根据本发明的一个实施例的用于防止跨站点请求伪造的方法进行 了详细说明。
根据本发明的另一实施例,还提供了另一种用于防止跨站点请求伪造的方 法。
再请参见图 2, 图 2是根据本发明的另一个实施例的一种用于防止跨站点 请求伪造的方法的流程示意图,在本发明的实施例中,所述方法可应用与当前 使用的各类网页应用中, 并可通过客户端与服务器结合完成 CSRF 的防止功 能。具体的, 本发明实施例的所述方法应用在可以安装浏览器浏览不同网页页 面的智能手机、 个人电脑等客户端中, 所述方法可至少包括从步骤 S201开始 的步骤。
在步骤 S201: 客户端在接收到浏览器的页面消息时, 获取发起该页面消 息的目标网页页面的 cookie信息。
若所述步骤 S201中的页面消息是用户通过点击设置在目标网页页面上的 诸如修改链接等的按鈕时, 由该目标网页页面发出。 或者, 在 CSRF发生时, 所述步骤 S201中的页面消息也可以是用户在打开其他网页页面时, 由其他网 页上自动运行的恶意链接或恶意程序触发所述目标网页页面发出的。
在本发明的实施例中, 在所述步骤 S201之前, 还可以包括步骤: 客户端 向所述服务器发送连接请求;客户端接收所述服务器根据所述连接请求返回的 包括用户标识的 cookie信息。
所述客户端可以在浏览器中打开一个或者多个网页页面,其可以在其中一 个网页页面中提交相应的连接请求, 例如,在社交论坛页面中提交了客户端用 户的用户名和 /或登录关键字 key等信息。 浏览器根据用户输入的用户标识向 对应服务器(如社交论坛服务器)发送携带用户标识的连接请求( HTTP请求 ) , 以便于服务器对连接请求进行鉴权, 判断该用户是否为会员用户等合法用户, 若是, 则分配 cookie。
在步骤 S202: 客户端若接收到设置在所述目标网页页面上的转换脚本生 成的一第一转换标识, 则生成包括所述第一转换标识和所述 cookie信息的页
- - 面请求消息。在本发明的实施例中, 所述第一转换标识是所述转换脚本根据预 置的转换算法对从目标网页页面的 cookie信息提取的用户标识进行转换后得 到的。 转到步骤 S204。
在步骤 S203: 客户端若没有接收到设置在所述目标网页页面上的转换脚 本生成的第一转换标识, 则生成包括所述 cookie信息的页面请求消息发送给 服务器。
在本发明的一个实施例中,若页面消息可以是用户通过点击设置在目标网 页页面上的诸如修改链接等的按鈕时, 由该目标网页页面发出的, 则执行所述 步骤 S202。 即: 设置在所述目标网页页面上的转换脚本检测到用户通过点击 设置在目标网页页面上的诸如修改链接等的按鈕时,从目标网页页面的 cookie 信息提取用户标识, 并按照预置的转换算法对提取的用户标识进行转换, 生成 所述第一转换标识。
而若页面消息是用户在打开其他网页页面时,由其他网页上自动运行的恶 意链接或恶意程序触发所述目标网页页面发出的, 则执行所述步骤 S203。 即: 由现有技术的同源策略可知,其他网页上自动运行的恶意链接或恶意程序由于 其对应的域名、 协议、 端口等与所述目标网页页面的并不相同, 因此, 其他网 页上自动运行的恶意链接或恶意程序并不能够触发所述目标网页页面上的转 换脚本工作, 也不能够获取到所述目标网页页面的 cookie信息中的用户标识 以进行转换。 因此,客户端不会接收到设置在所述目标网页页面上的转换脚本 生成的第一转换标识。 此时, 客户端根据页面消息, 仅能生成包括所述目标网 页页面的 cookie信息的页面请求消息。
在所述步骤 S202或步骤 S203之前的检测是否接收到设置在所述目标网页 页面上的转换脚本生成的第一转换标识的步骤中, 具体可以包括: 客户端在预 设的时间范围阈值内是否接收到设置在所述目标网页页面上的转换脚本生成 的第一转换标识, 若在预设时间范围阈值内接收到, 则执行所述步骤 S202; 若在预设时间范围阈值内没有接收到, 则执行所述步骤 S203。
在步骤 S204: 客户端将所述页面请求消息发送给服务器, 使所述服务器 根据所述 cookie信息包括的用户标识和所述第一转换标识对所述页面请求消 息进行鉴权。
在本发明的一个实施例中, 所述月良务器根据所述 cookie信息包括的用户
- - 标识和所述第一转换标识对所述页面请求消息进行鉴权, 包括:
所述服务器在所述页面请求消息中包括 cookie信息和第一转换标识时, 采用与所述目标网页页面上的转换脚本协商的转换算法对从所述 cookie信息 提取的用户标识进行转换得到第二转换标识,将该第二转换标识与所述第一转 换标识进行比较, 若两者匹配, 则鉴权通过;
所述服务器在所述页面请求消息中包括 cookie信息或者所述第二转换标 识与所述第一转换标识不匹配时, 则鉴权失败。
根据本发明的实施例,用户通过客户端需要发起关于某个网页页面的页面 请求时, 客户端通过浏览器不仅需要发送该网页页面的 cookie 消息, 而且还 需要采用转换算法对 cookie 消息中的用户标识进行转换得到转换标识, 服务 器则根据转换标识和 cookie 中的用户标识来对该页面请求进行鉴权。 由于转 换标识是客户端根据转换算法和用户标识结合计算得到, 因此, 恶意程序或者 链接仅凭转换算法是不能够得到转换标识, 如此即可能够有效地防止 CSRF, 并较好地保证了用户的上网安全, 满足安全需求。
以上对根据本发明的一个实施例的用于防止跨站点请求伪造的方法进行 了详细说明。
根据本发明的再一实施例,还提供了另一种用于防止跨站点请求伪造的方 法。
再请参见图 3 , 图 3是根据本发明的再一个实施例的一种用于防止跨站点 请求伪造的方法的流程示意图,在本发明的实施例中,所述方法可应用与当前 使用的各类网页应用中, 并可通过客户端与服务器结合完成 CSRF 的防止功 能。 具体的, 本实施例的所述方法应用在各种社交论坛、 网页版即时通讯应用 等应用服务器中, 具体的, 所述方法可至少包括从步骤 S301开始的步骤。
在步骤 S301 : 服务器在接收到客户端的关于目标网页页面的页面请求消 息时, 若所述页面请求消息中包括一第一转换标识和所述目标网页页面的 cookie信息, 从所述 cookie信息提取用户标识。
在本发明的实施例中,所述第一转换标识是所述转换脚本根据预置的转换 算法对从目标网页页面的 cookie信息提取的用户标识进行转换后得到的。
如上所述,所述客户端中设置在目标网页页面上的转换脚本具体可以是根 据预置的转换算法对从所述目标网页页面的 cookie信息中提取的用户标识进
- - 行转换, 得到所述第一转换标识。 所述转换算法可以包括但并不局限于哈希
HASH算法, 具体可以采取 DJB HASH算法对提取到的用户标识进行哈希转 换, 得到新的如字符标识信息等第一转换标识。
客户端在生成包括第一转换标识和所述目标网页页面的 cookie信息的页 面请求消息, 并发送给服务器。
在本发明的一个实施例中,由于其他网页页面上的恶意链接或者恶意程序 触发了本次的页面请求消息, 那么, 所述客户端中设置在目标网页页面上的转 换脚本并不会得到所述第一转换标识。且其他网页页面上的恶意链接或者恶意 程序也不能够生成第一转换标识提供给客户端, 此时,客户端发送的页面请求 消息中并不会包括第一转换标识, 而和现有技术相同,仅有所述目标网页页面 的 cookie信息, 此时所述服务器会直接执行下述的步骤 S304。
进一步的, 在所述步骤 S301之前, 还包括: 服务器接收所述客户端发送 的关于所述目标网页页面的连接请求; 服务器在对所述连接请求鉴权通过后, 响应所述连接请求向所述客户端返回包括用户标识的 cookie信息。
在步骤 S302: 采用与客户端中设置在所述目标网页页面上的转换脚本协 商的转换算法对所述用户标识进行转换, 得到一第二转换标识。
在本发明的一个实施例中, 所述服务器在接收到页面请求消息后,按照现 有的识别方式对该页面请求消息(HTTP请求)进行识别, 确定发起该页面请 求消息的客户端、 浏览器以及浏览器上与该页面请求消息的目标网页页面。
所述步骤 S302 采用与所述转换脚本相同的转换算法对用户标识进行转 换, 得到所述第二转换标识, 当然, 其也可以采用其他的与客户端协商的转换 算法, 以便于客户端和服务器端转换得到的转换标识进行核对匹配。
得到所述第二转换标识后,从所述页面请求消息相应字段中提取所述第一 转换标识, 并将两者进行比较, 如果二者相同, 则确定该页面请求消息合法, 执行下述的步骤 S303, 响应该页面请求消息进行相应的增、 删、 查、 改等操 作。 而如果二者不相同, 则该页面请求消息为非法操作, 执行下述步骤 S304, 拒绝该页面请求消息所请求的操作, 必要时还可以向对应用户发出报警,如向 预先在所述目标网页页面上设置的报告区发出报警信息。
在步骤 S303: 若所述第二转换标识与所述第一转换标识匹配, 则鉴权成 功, 响应所述页面请求消息。
- - 当然,服务器也可以先从页面请求消息的相应字段中提取出所述第一转换 标识, 然后再执行所述步骤 S302得到所述第二转换标识, 最后执行步骤 S303 或步骤 S304。
在步骤 S304: 若所述页面请求消息中仅包括 cookie信息或者所述第二转 换标识与所述第一转换标识不匹配时, 则确定鉴权失败。
在本发明的实施例中, 若所述页面请求消息中仅包括 cookie信息, 则可 以直接判定该页面请求消息为非法操作, 鉴权失败。 相应地, 可以向对应用户 发出报警, 如向预先在所述目标网页页面上设置的报告区发出报警信息。
在本发明的一个实施例中,用户通过客户端需要发起关于某个网页页面的 页面请求时, 客户端通过浏览器不仅需要发送该网页页面的 cookie 消息, 而 且还需要采用转换算法对 cookie 消息中的用户标识进行转换得到转换标识, 服务器则根据转换标识和 cookie 中的用户标识来对该页面请求进行鉴权。 由 于转换标识是客户端根据转换算法和用户标识结合计算得到, 因此, 恶意程序 或者链接仅凭转换算法是不能够得到转换标识, 如此即可能够有效地防止 CSRF, 并较好地保证了用户的上网安全, 满足安全需求。
以上对根据本发明的一个实施例的用于防止跨站点请求伪造的方法进行 了详细说明。
根据本发明的一实施例, 还提供了一种防止跨站点请求伪造的终端和系 统。
下面对本发明实施例的防止跨站点请求伪造的终端及系统进行详细描述。 请参见图 4, 图 4是根据本发明的一个实施例的一种防止跨站点请求伪造 的系统的结构组成示意图。在本发明的实施例中, 所述系统可应用于当前使用 的各类网页应用中,通过客户端与服务器结合实现防止 CSRF的功能。具体的, 所述系统包括: 客户端 1和服务器 2。
所述客户端 1 可以为但并不局限于能够安装浏览器浏览不同网页页面的 智能手机、 个人电脑等的设备。 所述服务器 2则可以为各种社交论坛、 网页版 即时通讯应用等应用服务器。
所述客户端 1 , 在接收到浏览器的页面消息时, 获取发起该页面消息的目 标网页页面的 cookie信息; 若接收到设置在所述目标网页页面上的转换脚本 生成的一第一转换标识, 则生成包括所述第一转换标识和所述 cookie信息的
- - 页面请求消息;所述第一转换标识是所述转换脚本根据预置的转换算法对从目 标网页页面的 cookie信息提取的用户标识进行转换后得到的; 将所述页面请 求消息发送给所述服务器 2。
所述服务器 2,接收到页面请求消息后, 从所述页面请求消息的 cookie信 息中提取用户标识;采用与所述目标网页页面上的转换脚本协商的转换算法对 获取的用户标识进行转换得到一第二转换标识;在判定所述第二转换标识与所 述页面请求消息中的第一转换标识相匹配时, 响应所述页面请求消息。
具体的, 请参见图 5, 图 5是根据本发明的一个实施例的一种用于防止跨 站点请求伪造的客户端的结构组成示意图, 本实施例的所述客户端 1包括: 获 取模块 11、 生成模块 12及发送模块 13。
所述获取模块 11 , 在接收到浏览器的页面消息时, 获取发起该页面消息 的目标网页页面的 cookie信息。
所述生成模块 12, 若接收到设置在所述目标网页页面上的转换脚本生成 的一第一转换标识, 则生成包括所述第一转换标识和所述 cookie信息的页面 请求消息。
所述发送模块 13 , 将所述页面请求消息发送给服务器, 使所述服务器根 据所述 cookie信息包括的用户标识和第一转换标识对所述页面请求消息进行 鉴权。
在本发明的一个实施例中,所述第一转换标识是所述转换脚本根据预置的 转换算法对从目标网页页面的 cookie信息提取的用户标识进行转换后得到的。
所述转换脚本可以是由发布所述目标网页页面的服务商在生成所述目标 网页页面时, 加载到所述目标网页页面上的。 当然, 所述转换脚本也可以是客 户端在请求所述目标网页页面时, 由服务器自动加载到所述目标网页页面上 的。
在本发明的一个实施例中,所述页面消息可以是用户通过点击设置在目标 网页页面上的诸如修改链接等的按鈕时, 由该目标网页页面发出的。
若所述页面消息是用户通过点击设置在目标网页页面上的诸如修改链接 等的按鈕时, 由该目标网页页面发出, 则设置在所述目标网页页面上的转换脚 本会在检测到该点击操作时, 从目标网页页面的 cookie信息提取用户标识, 并按照预置的转换算法对提取的用户标识进行转换, 生成所述第一转换标识。
- - 所述 cookie信息中的用户标识可以是用户名和 /或登录关键字 key, 即用 户在该目标网页页面登录某类应用的用户名和 /或登录关键字 key信息。
所述转换算法可以包括但并不局限于哈希 HASH算法,具体可以采取 DJB HASH算法对提取到的用户标识进行哈希转换,得到新的如字符标识信息等第 一转换标识, 并生成包括该第一转换标识和所述目标网页页面的 cookie信息 的 HTTP请求及页面请求消息。
所述生成模块 12则可生成包括所述第一转换标识和所述目标网页页面的 cookie信息的页面请求消息。
进一步可选地, 在本发明的另一实施例中, 所述客户端的所述生成模块 12, 若没有接收到设置在所述目标网页页面上的转换脚本生成的第一转换标 识, 则还可生成包括所述 cookie信息的页面请求消息发送给服务器。
进一步的, 在 CSRF发生时, 所述页面消息也可以是用户在打开其他网页 页面时,由其他网页上自动运行的恶意链接或恶意程序触发所述目标网页页面 发出的。
而若页面消息是用户在打开其他网页页面时,由其他网页上自动运行的恶 意链接或恶意程序触发所述目标网页页面发出的, 那么, 由现有技术的同源策 略可知,其他网页上自动运行的恶意链接或恶意程序由于其对应的域名、协议、 端口等与所述目标网页页面的并不相同, 因此, 其他网页上自动运行的恶意链 接或恶意程序并不能够触发所述目标网页页面上的转换脚本工作,也不能够获 取到所述目标网页页面的 cookie信息中的用户标识以进行转换。 因此, 客户 端不会接收到设置在所述目标网页页面上的转换脚本生成的第一转换标识。此 时,所述生成模块 12根据页面消息,仅能生成包括所述目标网页页面的 cookie 信息的页面请求消息。
在通过上述的获取模块 11、 生成模块 12以及发送模块 13执行上述功能 之前, 所述发送模块 13还可向所述服务器发送连接请求。 进一步可选地, 如 图 5所示, 图 5是根据本发明的另一个实施例的所述终端, 其还可以包括: 接 收模块 14, 接收所述服务器根据所述连接请求返回的包括用户标识的 cookie 信息。
再请参见图 6, 图 6是本发明实施例的一种用于防止跨站点请求伪造的服 务器的结构组成示意图。 在本发明的实施例中, 所述服务器 2包括: 提取模块
- -
21、 转换模块 22及响应模块 23。
所述提取模块 21 , 在接收到客户端的关于目标网页页面的页面请求消息 时,若所述页面请求消息中包括一第一转换标识和所述目标网页页面的 cookie 信息, 从所述 cookie信息提取用户标识。
所述转换模块 22, 采用与客户端中设置在所述目标网页页面上的转换脚 本协商的转换算法对所述用户标识进行转换, 得到一第二转换标识。
所述响应模块 23 , 若所述第二转换标识与所述第一转换标识匹配, 则鉴 权成功, 响应所述页面请求消息。
在本发明的实施例中,所述第一转换标识是所述转换脚本根据预置的转换 算法对从目标网页页面的 cookie信息提取的用户标识进行转换后得到的。
所述服务器在接收到页面请求消息后,按照现有的识别方式对该页面请求 消息(HTTP请求)进行识别, 确定发起该页面请求消息的客户端、 浏览器以 及浏览器上与该页面请求消息的目标网页页面。
具体为, 若所述页面请求消息中包括第一转换标识和 cookie信息, 所述 提取模块 21则从页面请求消息中的 cookie信息中获取用户标识, 所述转换模 块 22采用与所述转换脚本相同的转换算法对用户标识进行转换, 得到所述第 二转换标识。 当然, 该转换模块 22也可以采用其他的与客户端协商的转换算 法, 以便于客户端和服务器端转换得到的转换标识进行核对匹配。
得到所述第二转换标识后, 所述响应模块 23根据从所述页面请求消息相 应字段中提取所述第一转换标识, 并将两者进行比较, 如果二者相同, 则确定 该页面请求消息合法,响应该页面请求消息进行相应的增、删、查、改等操作; 而如果二者不相同, 则该页面请求消息为非法操作,拒绝该页面请求消息所请 求的操作, 必要时还可以向对应用户发出报警,如向预先在所述目标网页页面 上设置的报告区发出报警信息。
若所述页面请求消息中仅包括 cookie信息, 则可以直接判定该页面请求 消息为非法操作, 鉴权失败。 同样, 还可以向对应用户发出报警, 如向预先在 所述目标网页页面上设置的报告区发出报警信息。
进一步可选的, 如图 6所示, 在本发明实施例中, 所述服务器还包括: 接 收模块 24及处理模块 25。
所述接收模块 24, 接收所述客户端发送的关于所述目标网页页面的连接
- - 请求。
所述处理模块 25, 在对所述连接请求鉴权通过后, 响应所述连接请求向 所述客户端返回包括用户标识的 cookie信息。
即所述服务器通过所述接收 24和处理模块 25, 与客户端中上述的发送模 块 13和接收模块 15相配合, 完成所述目标网页页面的 cookie信息的分配。
在本发明的其他实施例中, 根据图 1、 图 2及图 3所示的用于防止跨站点 请求伪造的方法可以是由图 4、 图 5及图 6所示的防止跨站点请求伪造的终端
1所示的步骤 S101及图 所示的步骤 S201可以由图 5所示的获取模块 11来 执行。 图 1所示的步骤 S102及图 2所示的步骤 S202及 S203可以由图 5所示 的生成模块 12来执行。 图 1所示的步骤 S103及图 2所示的步骤 S204可由图 5所示的发送模块 13来执行。 图 1所示的步骤 S104及图 3所示的步骤 S301 可由图 6所示的提耳 ^莫块 21来执行。图 1所示的步骤 S105及图 3所示的步骤 S302可由图 6所示的转换模块 22来执行。 图 1所示的步骤 S106及图 3所示 的步骤 S303及 S304可由图 6所示的响应模块 23来执行。
在本发明的其他实施例中, 图 4、 图 5及图 6所示的防止跨站点请求伪造 的终端和系统中的各个单元可以分别或全部合并为一个或若干个另外的单元 来构成, 或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来 构成, 这可以实现同样的操作, 而不影响本发明的实施例的技术效果的实现。 上述单元是基于逻辑功能划分的,在实际应用中, 一个单元的功能也可以由多 个单元来实现, 或者多个单元的功能由一个单元实现。在本发明的其它实施例 中, 所述防止跨站点请求伪造的终端和系统也可以包括其它模块。但在实际应 用中, 这些功能也可以由其它单元协助实现, 并且可以由多个单元协作实现。
根据本发明的另一个实施例,可以通过处理单元和存储介质的例如计算机 的通用计算设备上运行能够执行如图 1、 图 2及图 3中所示的人机交互方法的 计算机程序 (包括程序代码) , 来构造如图 4、 图 5及图 6中所示的防止跨站 点请求伪造的终端和系统,以及来实现根据本发明的实施例的用于防止跨站点 请求伪造的方法。所述计算机程序可以记载于例如计算机可读记录介质上, 并 通过计算机可读记录介质装载于上述计算设备中, 并在其中运行。
其中,所述存储介质可以包括:闪存盘、只读存储器( Read-Only Memory ,
- -
ROM ) 、 随机存取器(Random Access Memory, RAM ) 、 磁盘或光盘等。
在本发明的实施例中,用户通过客户端需要发起关于某个网页页面的页面 请求时, 客户端通过浏览器不仅需要发送该网页页面的 cookie 消息, 而且还 需要采用转换算法对 cookie 消息中的用户标识进行转换得到转换标识, 服务 器则根据转换标识和 cookie 中的用户标识来对该页面请求进行鉴权。 由于转 换标识是客户端根据转换算法和用户标识结合计算得到,这样恶意程序或者链 接仅凭转换算法是不能够得到转换标识, 因此, 能够有效地防止 CSRF, 较好 地保证了用户的上网安全, 满足安全需求。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算 机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之 权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims
1、 一种用于防止跨站点请求伪造的方法, 包括:
客户端在接收到浏览器的页面消息时,获取发起该页面消息的目标网页页 面的 cookie信息;
客户端若接收到设置在所述目标网页页面上的转换脚本生成的一第一转 换标识, 则生成包括所述第一转换标识和所述 cookie信息的页面请求消息; 及
客户端将所述页面请求消息发送给服务器,使所述服务器根据所述 cookie 信息包括的用户标识和所述第一转换标识对所述页面请求消息进行鉴权;
其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网 页页面的 cookie信息提取的用户标识进行转换后得到的。
2、 如权利要求 1所述的方法, 还包括:
客户端若没有接收到设置在所述目标网页页面上的转换脚本生成的第一 转换标识, 则生成包括所述 cookie信息的页面请求消息发送给服务器。
3、 如权利要求 2所述的方法, 所述服务器根据所述 cookie信息包括的用 户标识和所述第一转换标识对所述页面请求消息进行鉴权包括:
所述服务器在所述页面请求消息中包括 cookie信息和第一转换标识时, 采用与所述目标网页页面上的转换脚本协商的转换算法对从所述 cookie信息 提取的用户标识进行转换得到一第二转换标识,将该第二转换标识与所述第一 转换标识进行比较, 若两者匹配, 则鉴权通过; 及
所述服务器在所述页面请求消息中仅包括 cookie信息或者所述第二转换 标识与所述第一转换标识不匹配时, 则鉴权失败。
4、 如权利要求 1-3任一项所述的方法, 所述客户端在接收到浏览器的页 面消息时, 获取发起该页面消息的目标网页页面的 cookie信息的步骤之前, 还包括:
客户端向所述服务器发送连接请求; 及
客户端接收所述服务器根据所述连接请求返回的包括用户标识的 cookie 信息。
5、 一种用于防止跨站点请求伪造的方法, 包括:
月良务器在接收到客户端的关于目标网页页面的页面请求消息时 ,若所述页 面请求消息中包括一第一转换标识和所述目标网页页面的 cookie信息, 从所 述 cookie信息提取用户标识;
采用与客户端中设置在所述目标网页页面上的转换脚本协商的转换算法 对所述用户标识进行转换, 得到一第二转换标识; 及
若所述第二转换标识与所述第一转换标识匹配, 则鉴权成功, 响应所述页 面请求消息;
其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网 页页面的 cookie信息提取的用户标识进行转换后得到的。
6、 如权利要求 5所述的方法, 还包括:
若所述页面请求消息中包括 cookie信息或者所述第二转换标识与所述第 一转换标识不匹配时, 则确定鉴权失败。
7、 如权利要求 5或 6所述的方法, 所述服务器在接收到客户端的关于目 标网页页面的页面请求消息时,若所述页面请求消息中包括第一转换标识和所 述目标网页页面的 cookie信息,从所述 cookie信息提取用户标识的步骤之前, 还包括:
服务器接收所述客户端发送的关于所述目标网页页面的连接请求; 及 服务器在对所述连接请求鉴权通过后,响应所述连接请求向所述客户端返 回包括用户标识的 cookie信息。
8、 一种用于防止跨站点请求伪造的方法, 包括:
客户端在接收到浏览器的页面消息时,获取发起该页面消息的目标网页页 面的 cookie信息;
客户端若接收到设置在所述目标网页页面上的转换脚本生成的一第一转 换标识, 则生成包括所述第一转换标识和所述 cookie信息的页面请求消息; 所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网页页面的 cookie信息提取的用户标识进行转换后得到的;
客户端将所述页面请求消息发送给服务器;
服务器接收到页面请求消息后, 从所述页面请求消息的 cookie信息中提 取用户标识;
服务器采用与所述目标网页页面上的转换脚本协商的转换算法对获取的
用户标识进行转换得到一第二转换标识; 及
服务器在判定所述第二转换标识与所述页面请求消息中的第一转换标识 相匹配时, 响应所述页面请求消息。
9、 一种用于防止跨站点请求伪造的客户端, 包括:
获取模块, 用于在接收到浏览器的页面消息时, 获取发起该页面消息的目 标网页页面的 cookie信息;
生成模块,用于若接收到设置在所述目标网页页面上的转换脚本生成的一 第一转换标识, 则生成包括所述第一转换标识和所述 cookie信息的页面请求 消息; 及
发送模块, 用于将所述页面请求消息发送给服务器,使所述服务器根据所 述 cookie信息包括的用户标识和第一转换标识对所述页面请求消息进行鉴权; 其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网 页页面的 cookie信息提取的用户标识进行转换后得到的。
10、 如权利要求 9所述的客户端, 所述生成模块, 还用于若没有接收到设 置在所述目标网页页面上的转换脚本生成的第一转换标识, 则生成包括所述 cookie信息的页面请求消息发送给服务器。
11、 如权利要求 9或 10所述的客户端, 所述发送模块还用于向所述服务 器发送连接请求。
12、 如权利要求 11所述的客户端, 所述客户端还包括:
接收模块,用于接收所述服务器根据所述连接请求返回的包括用户标识的 cookie信息。
13、 一种用于防止跨站点请求伪造的服务器, 包括:
提取模块, 用于在接收到客户端的关于目标网页页面的页面请求消息时, 若所述页面请求消息中包括一第一转换标识和所述目标网页页面的 cookie信 息, 从所述 cookie信息提取用户标识;
转换模块,用于采用与客户端中设置在所述目标网页页面上的转换脚本协 商的转换算法对所述用户标识进行转换, 得到一第二转换标识; 及
响应模块, 用于若所述第二转换标识与所述第一转换标识匹配, 则鉴权成 功, 响应所述页面请求消息;
其中,所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网
页页面的 cookie信息提取的用户标识进行转换后得到的。
14、 如权利要求 13所述的服务器, 还包括:
接收模块, 用于接收所述客户端发送的关于所述目标网页页面的连接请 求。
15、 如权利要求 14所述的服务器, 还包括:
处理模块, 用于在对所述连接请求鉴权通过后, 响应所述连接请求向所述 客户端返回包括用户标识的 cookie信息。
16、一种用于防止跨站点请求伪造的系统, 包括:客户端和服务器,其中, 所述客户端, 用于在接收到浏览器的页面消息时, 获取发起该页面消息的 目标网页页面的 cookie信息; 若接收到设置在所述目标网页页面上的转换脚 本生成的一第一转换标识, 则生成包括所述第一转换标识和所述 cookie信息 的页面请求消息;所述第一转换标识是所述转换脚本根据预置的转换算法对从 目标网页页面的 cookie信息提取的用户标识进行转换后得到的; 将所述页面 请求消息发送给所述服务器;
所述服务器, 用于接收到页面请求消息后, 从所述页面请求消息的 cookie 信息中提取用户标识;采用与所述目标网页页面上的转换脚本协商的转换算法 对获取的用户标识进行转换得到一第二转换标识;在判定所述第二转换标识与 所述页面请求消息中的第一转换标识相匹配时, 响应所述页面请求消息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310108023.X | 2013-03-29 | ||
| CN201310108023.XA CN104079611A (zh) | 2013-03-29 | 2013-03-29 | 用于防止跨站点请求伪造的方法、相关装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2014153959A1 true WO2014153959A1 (zh) | 2014-10-02 |
Family
ID=51600653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2013/086413 WO2014153959A1 (zh) | 2013-03-29 | 2013-11-01 | 用于防止跨站点请求伪造的方法、相关装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104079611A (zh) |
| WO (1) | WO2014153959A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111212016A (zh) * | 2018-11-21 | 2020-05-29 | 阿里巴巴集团控股有限公司 | 跨站请求处理方法、装置及电子设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341370B (zh) * | 2015-07-07 | 2020-11-24 | 北京京东尚科信息技术有限公司 | 一种防御跨站请求伪造攻击的方法及装置 |
| CN106549760A (zh) * | 2015-09-16 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 基于cookie的身份验证方法和装置 |
| CN106549925A (zh) * | 2015-09-23 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 防止跨站点请求伪造的方法、装置及系统 |
| CN105376264A (zh) * | 2015-12-24 | 2016-03-02 | 中国建设银行股份有限公司 | 认证方法及设备 |
| CN106657024B (zh) * | 2016-11-29 | 2020-04-21 | 珠海市魅族科技有限公司 | 防cookie被篡改的方法及装置 |
| CN107682346B (zh) * | 2017-10-19 | 2021-06-25 | 南京大学 | 一种csrf攻击的快速定位与识别系统和方法 |
| CN108712367A (zh) * | 2018-03-28 | 2018-10-26 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及设备 |
| CN110912903B (zh) * | 2019-11-27 | 2022-01-04 | 支付宝实验室(新加坡)有限公司 | 跨域访问方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594343A (zh) * | 2008-05-29 | 2009-12-02 | 国际商业机器公司 | 安全提交请求的装置和方法、安全处理请求的装置和方法 |
| US20110321168A1 (en) * | 2010-06-28 | 2011-12-29 | International Business Machines Corporation | Thwarting cross-site request forgery (csrf) and clickjacking attacks |
| CN102685081A (zh) * | 2011-03-17 | 2012-09-19 | 腾讯科技(深圳)有限公司 | 一种网页请求安全处理方法及系统 |
| CN102763368A (zh) * | 2009-12-23 | 2012-10-31 | 思杰系统有限公司 | 用于跨站点伪造保护的方法和系统 |
-
2013
- 2013-03-29 CN CN201310108023.XA patent/CN104079611A/zh active Pending
- 2013-11-01 WO PCT/CN2013/086413 patent/WO2014153959A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594343A (zh) * | 2008-05-29 | 2009-12-02 | 国际商业机器公司 | 安全提交请求的装置和方法、安全处理请求的装置和方法 |
| CN102763368A (zh) * | 2009-12-23 | 2012-10-31 | 思杰系统有限公司 | 用于跨站点伪造保护的方法和系统 |
| US20110321168A1 (en) * | 2010-06-28 | 2011-12-29 | International Business Machines Corporation | Thwarting cross-site request forgery (csrf) and clickjacking attacks |
| CN102685081A (zh) * | 2011-03-17 | 2012-09-19 | 腾讯科技(深圳)有限公司 | 一种网页请求安全处理方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111212016A (zh) * | 2018-11-21 | 2020-05-29 | 阿里巴巴集团控股有限公司 | 跨站请求处理方法、装置及电子设备 |
| CN111212016B (zh) * | 2018-11-21 | 2022-09-23 | 阿里巴巴集团控股有限公司 | 跨站请求处理方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104079611A (zh) | 2014-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2014153959A1 (zh) | 用于防止跨站点请求伪造的方法、相关装置及系统 | |
| US9954855B2 (en) | Login method and apparatus, and open platform system | |
| TWI587672B (zh) | Login authentication method, client, server and system | |
| US9112828B2 (en) | Method for defending against session hijacking attacks and firewall | |
| US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
| US10225260B2 (en) | Enhanced authentication security | |
| US9887997B2 (en) | Web authentication using client platform root of trust | |
| CN105323253B (zh) | 一种身份验证方法及装置 | |
| US20150149766A1 (en) | System and methods for facilitating authentication of an electronic device accessing plurality of mobile applications | |
| US10142308B1 (en) | User authentication | |
| WO2019095856A1 (zh) | 一种网络身份认证方法、系统及其使用的用户代理设备 | |
| CN103139200A (zh) | 一种web service单点登录的方法 | |
| CN112787979A (zh) | 物联网设备访问控制方法及物联网设备访问控制装置 | |
| CN110175448B (zh) | 一种可信设备登录认证方法及具有认证功能的应用系统 | |
| CN107612926B (zh) | 一种基于客户端识别的一句话WebShell拦截方法 | |
| US20150180850A1 (en) | Method and system to provide additional security mechanism for packaged web applications | |
| US20210399897A1 (en) | Protection of online applications and webpages using a blockchain | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN114157434A (zh) | 登录验证方法、装置、电子设备及存储介质 | |
| WO2017031859A1 (zh) | 一种用于验证访问安全的方法和装置 | |
| CN109428869B (zh) | 钓鱼攻击防御方法和授权服务器 | |
| CN114938313A (zh) | 一种基于动态令牌的人机识别方法及装置 | |
| Pansa et al. | Web security improving by using dynamic password authentication | |
| US11363020B2 (en) | Method, device and storage medium for forwarding messages | |
| CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13879779 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 32PN | Ep: public notification in the ep bulletin as address of the adressee cannot be established |
Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205N DATED 04/12/2015) |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 13879779 Country of ref document: EP Kind code of ref document: A1 |