【技术实现步骤摘要】
跨站请求伪造攻击防御方法、装置、电子设备及存储介质
本申请涉及信息安全
,具体而言,涉及一种跨站请求伪造攻击防御方法、装置、电子设备及存储介质。
技术介绍
目前,在Web的用户身份验证中,简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。跨站请求伪造(Cross-siteRequestForgery)也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。CSRF利用了这个漏洞,由于该浏览器已经经过了认证,所以被访问的网站会忠实...
【技术保护点】
1.一种跨站请求伪造攻击防御方法,其特征在于,应用于客户端,所述方法包括:/n基于用户的请求生成并行会话;/n基于所述客户端存储的第一令牌组中的令牌数量确定是否需要进行令牌组更新;/n在需要进行令牌组更新时,获取第二令牌组,在所述第二令牌组中确定与所述并行会话对应的令牌;/n将包含与所述并行会话对应的令牌的所述并行会话发送至服务端,以使所述服务端在所述并行会话的令牌通过验证时,基于所述并行会话生成业务请求,并基于所述业务请求从后台获取业务请求执行结果;/n接收所述服务端返回的所述业务请求执行结果。/n
【技术特征摘要】
1.一种跨站请求伪造攻击防御方法,其特征在于,应用于客户端,所述方法包括:
基于用户的请求生成并行会话;
基于所述客户端存储的第一令牌组中的令牌数量确定是否需要进行令牌组更新;
在需要进行令牌组更新时,获取第二令牌组,在所述第二令牌组中确定与所述并行会话对应的令牌;
将包含与所述并行会话对应的令牌的所述并行会话发送至服务端,以使所述服务端在所述并行会话的令牌通过验证时,基于所述并行会话生成业务请求,并基于所述业务请求从后台获取业务请求执行结果;
接收所述服务端返回的所述业务请求执行结果。
2.根据权利要求1所述的方法,其特征在于,所述基于所述客户端存储的第一令牌组中的令牌数量确定是否需要进行令牌组更新,包括:
在所述第一令牌组中的令牌数量大于预设数量时,确定不需要进行令牌组更新;
在所述第一令牌组中的令牌数量小于或等于所述预设数量时,确定需要进行令牌组更新。
3.根据权利要求1所述的方法,其特征在于,所述获取所述第二令牌组,包括:
基于所述第一令牌组中的指定令牌生成令牌更新会话;
将所述令牌更新会话发送至所述服务端,以使所述服务端在所述令牌更新会话的令牌通过验证时,基于所述令牌更新会话生成所述第二令牌组;
接收所述服务端返回的所述第二令牌组。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在不需要进行令牌组更新时,在所述第一令牌组中确定与所述并行会话对应的令牌。
5.根据权利要求1所述的方法,其特征在于,在所述基于所述客户端存储的第一令牌组中的令牌数量确定是否需要进行令牌组更新之前,所述方法还包括:
基于用户发送的登录信息向所述服务端发起用户登录请求,以使所述服务端基于所述用户登录请求与所述客户端建立连接,并向所述客户端发送由多个令牌组成的所述第一令牌组;
接收并储存所述第一令牌组。
6.一种跨站请求伪造攻击防御方法,其特征在于,应用于服务端,所述方法包括:
接收客户端发送的并行会话;
在所述并行会话的令牌通过验证后,基于所述并行会话生成业务请求;
将所述业务请求发送至后台,以使所述后台基于所述业务请求返回业务请求执行结果;
将所述...
【专利技术属性】
技术研发人员:胡雨翠,张国兴,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。