防止跨站点请求伪造的方法、装置及系统制造方法及图纸

本申请实施例公开了一种防止跨站点请求伪造的方法、装置及系统。该方法包括：客户端初次访问服务器时将本地的终端设备信息发送至服务器；服务器根据所述终端设备信息生成环境指纹信息；服务器将所述环境指纹信息作为预设验证信息进行存储；服务器将所述环境指纹信息发送至客户端；当客户端与服务器之间进行数据交互时，客户端向服务器发送包括环境指纹信息的访问请求消息；服务器接收所述访问请求消息，并判断所述访问请求消息中是否包含与存储的预设验证信息相匹配的环境指纹信息；服务器根据判断结果响应所述访问请求消息。利用本申请各个实施例，可以有效防止跨站点请求伪造，提高终端设备的安全性。

【技术实现步骤摘要】

本申请涉及计算机
，特别涉及一种防止跨站点请求伪造的方法、装置及系统。
技术介绍
CSRF(CrossSiteRequestForgery,跨站点请求伪造)是一种网络的攻击方式，CSRF攻击可以在用户毫不知情的情况下以用户名义将伪造的请求发送给目标站点的服务器，从而在用户并未授权的情况下执行在用户权限保护之下的操作。例如，利用用户的cookie信息中的标识、登录信息向目标站点的服务器发送用户名修改的请求，使得在用户不知情的情况下就对该用户的用户名信息进行了修改。目前防止CSRF的现有技术采用的方案为：服务器预先通过cookie的方式，为客户端中浏览器打开的某一网页页面打上一个页面标识(称为token)，浏览器的该网页页面在请求相应服务时，浏览器都要从cookie里边取出该页面标识token放在请求参数里发送给服务器。服务器根据请求参数中的页面标识token，可以判断该请求的合法性。现有技术中，页面标识token是服务器通过一定转换算法直接生成的，非法用户可以根据服务器相同的算法计算得到一个标识与本网页的页面标识token相同，这就使得CSRF的防止功能无效，给用户带来损失。专本文档来自技高网...

【技术保护点】
一种防止跨站点请求伪造的方法，其特征在于，包括：客户端初次访问服务器时将本地的终端设备信息发送至服务器；服务器根据所述终端设备信息生成环境指纹信息；服务器将所述环境指纹信息作为预设验证信息进行存储；服务器将所述环境指纹信息发送至客户端；客户端向服务器发送包括环境指纹信息的访问请求消息；服务器接收所述访问请求消息，并判断所述访问请求消息中是否包含与存储的预设验证信息相匹配的环境指纹信息；服务器根据判断结果响应所述访问请求消息。

【技术特征摘要】
1.一种防止跨站点请求伪造的方法，其特征在于，包括：客户端初次访问服务器时将本地的终端设备信息发送至服务器；服务器根据所述终端设备信息生成环境指纹信息；服务器将所述环境指纹信息作为预设验证信息进行存储；服务器将所述环境指纹信息发送至客户端；客户端向服务器发送包括环境指纹信息的访问请求消息；服务器接收所述访问请求消息，并判断所述访问请求消息中是否包含与存储的预设验证信息相匹配的环境指纹信息；服务器根据判断结果响应所述访问请求消息。2.一种防止跨站点请求伪造的方法，其特征在于，包括：客户端初次访问服务器时根据本地的终端设备信息生成环境指纹信息；客户端将所述环境指纹信息发送至服务器；服务器将所述环境指纹信息作为预设验证信息进行存储；客户端向服务器发送包括环境指纹信息的访问请求消息；服务器接收所述访问请求消息，并判断所述访问请求消息中是否包含与存储的预设验证信息相匹配的环境指纹信息；服务器根据判断结果响应所述访问请求消息。3.一种防止跨站点请求伪造的方法，其特征在于，包括：接收客户端发送的包括环境指纹信息的访问请求消息；判断所述访问请求消息中是否包含与存储的预设验证信息相匹配的环境指纹信息；根据判断结果响应所述访问请求消息。4.根据权利要求3所述的方法，其特征在于，所述预设验证信息至少包括下述之一：根据客户端发送的客户端本地终端设备信息生成的环境指纹信息；接收到的客户端根据客户端本地终端设备信息生成的环境指纹信息。5.根据权利要求4所述的方法，其特征在于，所述终端设备信息至少包括下述之一：终端设备的唯一硬件标识、终端设备的唯一网络标识、终端设备的唯一应用标识。6.根据权利要求3所述的方法，其特征在于，所述根据判断结果响应所述访问请求消息包括：当判断出所述访问请求消息中不包含与所述预设验证信息相匹配的环境指纹信息时，拒绝所述访问请求消息。7.根据权利要求3所述的方法，其特征在于，所述根据判断结果响应所述访问请求消息包括：当判断出所述访问请求消息中包含与所述预设验证信息相匹配的环境指纹信息时，执行与所述访问请求消息相对应的操作。8.一种防止跨站点请求伪造的方法，其特征在于，包括：初次访问服务器时根据本地的终端设备信息生成环境指纹信息，并将所述环境指纹信息发送至服务器；向服务器发送包括所述环境指纹信息的访问请求消息。9.根据权利要求8所述的方法，其特征在于，所述终端设备信息至少包括下述之一：终端设备的唯一硬件标识、终端设备的唯一网络标识、终端设备的唯一应用标识。10.一种防止跨站点请求伪造的方法，其特征在于，包括：初次访问服务器时将客户端本地的终端设备信息发送至服务器；接收服务器根据所述终端设备信息生成的环境指纹信息；向服务器发送包括所述环境指纹信息的访问请求消息。11.根据权利要求10所述的方法，其特征在于，所述终端设备信息至少包括下述之一：终端设备的唯一硬件标识、终端设备的唯一网络标识、终端设备的唯一应用标识。12.一种防止跨站点请求伪造的装置，其特征在于，包括：第一接收模块，用于接收客户端发送的包括环境指纹信息的访问请求消息；第一判断模块，用于判断所述访问请求消息中是否包含与存储的预设验证信息相匹配的环境指纹信息；第一响应模块，用于根据判断结果响应所述访问请求...

【专利技术属性】
技术研发人员：龙斌，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY