The invention relates to the field of information security. The invention aims to solve the problem that Cookie in existing network transmission is easy to be acquired by website attackers, and the server security is not high due to injecting class attacks initiated by Cookie. A Cookie security protection method and server based on encryption technology are proposed. The method mainly includes the following steps: through the key value of Set Cookie function. Encryption rewrite, and then send the rewritten Set Cookie function definition Cookie to the browser. When the server receives the request packet containing the Cookie, it decrypts the key value of Set Cookie function used by Cookie and reads the information in Cookie after successful decryption, so as to prevent website attackers from stealing Cookie, avoid user information leakage, prevent injection attacks, and improve user information and Server security, suitable for Web servers.
【技术实现步骤摘要】
基于加密技术的Cookie安全防护方法及服务器
本专利技术涉及信息安全
,具体来说涉及一种Cookie安全防护方法及服务器。
技术介绍
Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用Cookie)。Cookie名称和值可以由服务器端开发自己定义,对于JSP而言也可以直接写入jsessionid,这样服务器可以知道该用户是否是合法用户以及是否需要重新登录等,服务器可以设置或读取Cookie中包含信息,借此维护用户跟服务器会话中的状态。Cookie常用于保存用户ID,凭证,状态等关键信息,但是目前Cookie的内容是以明文保存,或者普通加密的方式对Cookie进行保护,仍然面临着容易被网站攻击者获取,通过篡改Cookie向服务器发起注入类攻击的风险,如跨站脚本攻击(XSS),服务器安全得不到保障。
技术实现思路
本专利技术的目的是要解决现有网络传输中的Cookie容易被网站攻击者获取,通过Cookie发起注入类攻击造成服务器安全性不高的问题,提出一种基于加密技术的Cookie安全防护方法及服务器。本专利技术解决上述技术问题所采用的技术方案是:基于加密技术的Cookie安全防护方法,包括以下步骤:S01.在服务器发送含有Cookie的响应数据包至浏览器之前,对发送所述Cookie的Set-Cookie函数的键值进行加密,获得加密密文,根据所述加密密文重写所述Set-Cookie函数;S02.将 ...
【技术保护点】
1.基于加密技术的Cookie安全防护方法,其特征在于,包括以下步骤:S01.在服务器发送含有Cookie的响应数据包至浏览器之前,对发送所述Cookie的Set‑Cookie函数的键值进行加密,获得加密密文,根据所述加密密文重写所述Set‑Cookie函数;S02.将含有Cookie的响应数据包发送至所述浏览器,所述Cookie是由重写后的Set‑Cookie函数定义的;S03.当服务器收到浏览器发送的包括所述Cookie的请求数据包后,对所述Cookie所使用的Set‑Cookie函数的键值进行解密;S04.判断所述Cookie所使用的Set‑Cookie函数的键值是否解密成功,若是,根据解密后的数据重写所述Cookie,若否,丢弃所述Cookie。
【技术特征摘要】
1.基于加密技术的Cookie安全防护方法,其特征在于,包括以下步骤:S01.在服务器发送含有Cookie的响应数据包至浏览器之前,对发送所述Cookie的Set-Cookie函数的键值进行加密,获得加密密文,根据所述加密密文重写所述Set-Cookie函数;S02.将含有Cookie的响应数据包发送至所述浏览器,所述Cookie是由重写后的Set-Cookie函数定义的;S03.当服务器收到浏览器发送的包括所述Cookie的请求数据包后,对所述Cookie所使用的Set-Cookie函数的键值进行解密;S04.判断所述Cookie所使用的Set-Cookie函数的键值是否解密成功,若是,根据解密后的数据重写所述Cookie,若否,丢弃所述Cookie。2.如权利要求1所述的基于加密技术的Cookie安全防护方法,其特征在于,步骤S01中,所述对发送所述Cookie的Set-Cookie函数的键值进行加密之前还包括:S11.在浏览器向服务器发送的请求数据包中获取UA字段的值以及安装该浏览器的客户端的外网IP地址;S12.将所述UA字段的值及外网IP地址以字符串的方式拼接;S13.根据Hash算法将所述拼接后的字符串生成密钥。3.如权利要求2所述的基于加密技术的Cookie安全防护方法,其特征在于,步骤S01中,所述对发送所述Cookie的Set-Cookie函数的键值进行加密包括:将所述密钥作为AES加密密钥,根据AES加密函数对所述Set-Cookie函数的键值进行加...
【专利技术属性】
技术研发人员:付强,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。