本发明专利技术提供一种基于会话周期自动探测的防cookie篡改方法,包括以下步骤:(1)接收来自客户端的请求;(2)获取发起请求的客户端的信息;(3)检查该请求与上一个请求是否发生在同一个会话周期内;如果是同一个会话周期内,执行步骤4;如果不是同一个会话周期内,执行步骤5;(4)判断本次请求的客户端是否与上次请求的客户端一致;如果一致,执行步骤8;如果不一致,执行步骤6;(5)将相应信息存储;执行步骤8;(6)判定请求是否篡改了Cookie;(7)阻断请求;(8)放行请求。本发明专利技术提出的基于会话周期自动探测的防Cookie篡改方法,完善了传统的Cookie防篡改方法,判定Cookie是否被篡改的逻辑更加严谨,避免了Cookie篡改的误报。
【技术实现步骤摘要】
基于会话周期自动探测的防cookie篡改方法
本专利技术涉及一种cookie防篡改方案,具体涉及一种基于会话周期自动探测的防cookie篡改方法。
技术介绍
随着电子商务的兴起和互联网上巨大商机的出现,一些网站和机构滥用Cookie,未经访问者的许可,利用搜索引擎技术、数据挖掘技术、甚至是网络欺骗技术搜集他人的个人资料,达到构建用户数据库,发送广告等盈利目的,造成用户个人隐私的泄漏[1]。对于以上所述,Cookie与用户隐私权的问题并没有相关法律约束。有的是个人的警惕性不够,意识不到“Cookie”固有的安全隐患。因此用户要提高隐私保护意识,国家应建立和健全网络隐私保护的法律和法规,规范和监督网站采取合法的隐私保护措施。传统的cookie防篡改方案中,只检查请求携带的cookie值与响应包返回的set-cookie值,从而判断cookie值是否被篡改。这种方案太不严谨,同一个客户端,在不同的会话周期内发起请求,请求会被阻断。这种情况下造成,Cookie篡改的误报,影响正常的web业务。现有的cookie防篡改方案中,只检查请求携带的cookie值与响应包返回的set-cookie值,从而判断cookie值是否被篡改。这种方案太不严谨,同一个客户端,在不同的会话周期内发起请求,请求会被阻断。因此,需要对现有技术进行改进。
技术实现思路
本专利技术要解决的技术问题是提供一种高效的基于会话周期自动探测的防cookie篡改方法。为解决上述技术问题,本专利技术提供一种基于会话周期自动探测的防cookie篡改方法,包括以下步骤:(1)接收来自客户端的请求;(2)获取发起请求的客户端的信息;(3)检查该请求与上一个请求是否发生在同一个会话周期内;如果是同一个会话周期内,执行步骤4;如果不是同一个会话周期内,执行步骤5;(4)判断本次请求的客户端是否与上次请求的客户端一致;如果一致,执行步骤8;如果不一致,执行步骤6;(5)将相应信息存储;执行步骤8;(6)判定请求是否篡改了Cookie;如果是,则执行步骤8,如果否,则执行步骤7;(7)阻断请求;(8)放行请求。作为对本专利技术基于会话周期自动探测的防cookie篡改方法的改进:在步骤2中,从请求头部中获取客户端的UA、IP以及Cookie值。作为对本专利技术基于会话周期自动探测的防cookie篡改方法的进一步改进:在步骤5中,新的会话周期的客户端信息及响应包返回的Set-Cookie三元组构成的记录存储到相应的服务器端的数据文件中。作为对本专利技术基于会话周期自动探测的防cookie篡改方法的进一步改进:在步骤6中,判断响应包返回的Set-Cookie和客户端Cookie值是否一致,如果是,则执行步骤8,如果否,则执行步骤7。作为对本专利技术基于会话周期自动探测的防cookie篡改方法的进一步改进:在步骤4中,通过客户端的UA、IP判断本次请求的客户端是否与上次请求的客户端一致,若客户端的UA和IP均相同,则客户端为一致,执行步骤8;如果若客户端的UA和IP不相同,则客户端不一致,执行步骤6。本专利技术的工作原理是,当客户端发起请求时获取标识客户端的User-Agent(本文中简称为UA)以及客户端IP,检查该客户端是否是第一次发起请求。若该客户端第一次发起请求,则将该客户端的UA、IP以及响应包返回的Set-Cookie值为三元组存储在服务器端;若该客户端不是第一次发起请求,则比较请求携带的Cookie头部与Set-Cookie头部的值,若两者相等则通过请求;否则意味着当前Cookie已失效,将客户端的UA、IP以及响应包返回的Set-Cookie值构成的记录从服务器端删除(从cookie角度来说,等价于该客户端尚未向服务器发起请求)。从三元组被记录到服务器端到被从服务器端删除,这一过程为一个会话周期。当一个会话尚未结束,不同客户端携带不同于Set-Cookie值的Cookie头部发起请求时,意味着Cookie被篡改,阻断该请求。因此,可以实现对Cookie篡改的防护,这种防护较传统的Cookie篡改的防护而言,更加严谨、更加科学,同时可以更好地防误报。本专利技术基于会话周期自动探测的防cookie篡改方法的技术优势为:本专利技术的目的是完善Cookie防篡改的方案。检查会话的生命周期,在同一个会话周期内,Cookie不发生变化,或者Cookie发生变化但客户端的UA和IP不变都判定为正常请求;而在同一个周期内,如果客户端的UA或IP变化(即客户端发生变化),且Cookie发生变化,则判定Cookie被篡改,请求非法。本专利技术提出的基于会话周期自动探测的防Cookie篡改方法,完善了传统的Cookie防篡改方法,判定Cookie是否被篡改的逻辑更加严谨,避免了Cookie篡改的误报。附图说明下面结合附图对本专利技术的具体实施方式作进一步详细说明。图1为本专利技术采用基于会话周期自动探测的防Cookie篡改方法的原理图;图2为本专利技术采用基于会话周期自动探测的防Cookie篡改装置的模块示意图;图3为本专利技术采用基于会话周期自动探测的防Cookie篡改方法的实施流程图。具体实施方式下面结合具体实施例对本专利技术进行进一步描述,但本专利技术的保护范围并不仅限于此。实施例1、基于会话周期自动探测的防cookie篡改装置,如图1所示,包括信息记录装置、Cookie篡改判定装置以及请求性质判定装置。信息记录装置为客户端UA、IP以及Set-Cookie存储装置,包括存储客户端信息及Set-Cookie存储文件。文件用于存放当前会话周期内,客户端信息以及Cookie有效值。Cookie篡改判定装置用于根据服务器端数据文件中存储的当前客户端以及有效Cookie值,依据存储装置中文件的内容,判定客户端是否变化、是否有新会话生成以及Cookie值是否变化,从而判定Cookie是否被篡改。请求性质判定装置用于判定请求属于正常请求还是Cookie被篡改的非法请求。当客户端发生变化,会话周期不变,且Cookie发生变化时,判定请求非法;否则判定请求合法。若两次请求,UA和IP中有一个不相同(即请求来自不同的客户端),且Cookie字段值和Set-Cookie字段值不一致,则说明Cookie被篡改,请求识别为攻击,阻断请求。一种基于会话周期自动探测的防Cookie篡改方法,具体包括以下步骤:(1)接收来自客户端的请求;(2)获取发起请求的客户端的信息;从请求头部中获取客户端的UA、IP以及Cookie值;UA和IP用于判别不同请求是否来自同一个客户端,若UA和IP都相同,说明请求来自同一个客户端。Set-Cookie用于与请求中携带的Cookie字段值进行比较,若相同,说明当前请求和上一次请求在同一个会话周期内,否则当前请求触发了本文档来自技高网...
【技术保护点】
1.基于会话周期自动探测的防cookie篡改方法,其特征在于:包括以下步骤:/n(1)接收来自客户端的请求;/n(2)获取发起请求的客户端的信息;/n(3)检查该请求与上一个请求是否发生在同一个会话周期内;如果是同一个会话周期内,执行步骤4;如果不是同一个会话周期内,执行步骤5;/n(4)判断本次请求的客户端是否与上次请求的客户端一致;如果一致,执行步骤8;如果不一致,执行步骤6;/n(5)将相应信息存储;执行步骤8;/n(6)判定请求是否篡改了Cookie;如果是,则执行步骤8,如果否,则执行步骤7;/n(7)阻断请求;/n(8)放行请求。/n
【技术特征摘要】
1.基于会话周期自动探测的防cookie篡改方法,其特征在于:包括以下步骤:
(1)接收来自客户端的请求;
(2)获取发起请求的客户端的信息;
(3)检查该请求与上一个请求是否发生在同一个会话周期内;如果是同一个会话周期内,执行步骤4;如果不是同一个会话周期内,执行步骤5;
(4)判断本次请求的客户端是否与上次请求的客户端一致;如果一致,执行步骤8;如果不一致,执行步骤6;
(5)将相应信息存储;执行步骤8;
(6)判定请求是否篡改了Cookie;如果是,则执行步骤8,如果否,则执行步骤7;
(7)阻断请求;
(8)放行请求。
2.根据权利要求1所述的基于会话周期自动探测的防cookie篡改方法,其特征在于:
在步骤2中,从请求头部中获取客户端的UA、IP以及Cookie值。
【专利技术属性】
技术研发人员:徐静,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。