【技术实现步骤摘要】
一种页面请求处理方法及装置
本申请涉及网络安全领域,具体而言,涉及一种页面请求处理方法及装置。
技术介绍
目前,在全球广域网(WorldWideWeb,Web)的用户身份验证中,简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。跨站请求伪造(Cross-siteRequestForgery,CSRF)即是利用上述漏洞,攻击者通过欺骗浏览器访问曾经认证过的网站,从而能够运行伪造的操作(例如:发邮件、发消息、财产操作等),为用户带来损失。在现有技术中,为了防御CSRF,在构造请求时一般会使用一个一次有效的校验值交由后端校验,后端校验成功后再为前端的下一次请求分配新的一次有效校验值,以此循环。这样,由于攻击者无法伪造正确的校验值,且该校验值生命周期很短,因此,攻击者将无法通过网站的校验。但是,采用上述的防御方法无法兼容并行会话。当用户使用选项卡式的浏览或者利用多个浏览器窗口浏览一个站点时,只能成功的对最后一个打开的表单进行验证,且会误杀之前的表单,因此,会导致并行会话不可用,也就是...
【技术保护点】
1.一种页面请求处理方法,其特征在于,应用于服务器,包括:/n接收客户端同时发送的多个请求以及每一请求携带的验证令牌;/n利用本地存储的验证数组对所述验证令牌进行验证,并将验证过的验证令牌从所述验证数组中删除;其中,所述验证数组包括多个验证令牌;/n当所述验证令牌验证通过时,生成新的验证令牌,并将所述新的验证令牌添加至所述验证数组中;/n向所述客户端返回与所述请求对应的响应以及所述新的验证令牌,以使所述客户端存储接收到所述新的验证令牌。/n
【技术特征摘要】
1.一种页面请求处理方法,其特征在于,应用于服务器,包括:
接收客户端同时发送的多个请求以及每一请求携带的验证令牌;
利用本地存储的验证数组对所述验证令牌进行验证,并将验证过的验证令牌从所述验证数组中删除;其中,所述验证数组包括多个验证令牌;
当所述验证令牌验证通过时,生成新的验证令牌,并将所述新的验证令牌添加至所述验证数组中;
向所述客户端返回与所述请求对应的响应以及所述新的验证令牌,以使所述客户端存储接收到所述新的验证令牌。
2.根据权利要求1所述的页面请求处理方法,其特征在于,在所述接收客户端同时发送的多个请求以及每一请求携带的验证令牌之前,所述方法还包括:
接收所述客户端发送的登录请求,以根据所述登录请求与所述客户端建立连接;
生成所述验证数组,并向所述客户端发送所述验证数组。
3.根据权利要求2所述的页面请求处理方法,其特征在于,所述生成所述验证数组,包括:
生成所述验证数组以及与所述验证数组中每一个验证令牌对应的老化时间,以使在到达所述老化时间后,更新对应的验证令牌。
4.根据权利要求1所述的页面请求处理方法,其特征在于,所述接收客户端同时发送的多个请求以及每一请求携带的验证令牌,包括:
接收所述客户端发送的加密数据包;
对所述加密数据包进行解密,得到所述请求以及所述验证令牌。
5.一种页面请求处理方法,其特征在于,应用于客户端,包括:
当同时发起多个请求时,从本地存储的验证数组中为每一请求分配一个验证令牌,并将分配过的验证令牌从所述验证数组中删除;其中,所述验证数组包括多个验证令牌;
向服务器发送所述请求以及所述验证令牌,以使所述服务器对所述验证令牌进行验证;
当所述验证令牌验证通过时,接收所述服务器返回的与所述请求对应的响应以及新的验证令牌;
将所述新的验证令牌添加至所述验证数组中。
6.根据权利要求5所述的页面请求处理方法,其特征在于,在所述当同时发起多个请求时,从本地存储的验证数组中为每一请求分配一个验证令牌,并将分配过的验证令牌从所述验证数组中删除之前,所述方法还包括:
获取用户登录信息;
根据所述用户登录信息...
【专利技术属性】
技术研发人员:胡雨翠,张国兴,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。