本公开实施例提供了一种跨站请求伪造攻击防御方法及装置、电子设备及介质,涉及计算机技术领域。由客户端执行的跨站请求伪造攻击防御方法包括:启动交互插件脚本,通过交互插件脚本设置请求接口的确认位信息;向服务器发送请求信息,接收服务器返回的请求接口的验证码信息,请求信息包括请求接口的确认位信息;通过交互插件脚本,对请求接口的确认位信息和请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向服务器返回混合加密信息;在服务器对混合加密信息进行校验处理后,接收服务器返回的请求结果。该方法能够在不影响用户体验的基础上,实现对CSRF攻击的有效防御。实现对CSRF攻击的有效防御。实现对CSRF攻击的有效防御。
【技术实现步骤摘要】
跨站请求伪造攻击防御方法及装置、电子设备及介质
[0001]本公开涉及计算机
,具体而言,涉及一种跨站请求伪造攻击防御方法及装置、电子设备及计算机可读存储介质。
技术介绍
[0002]跨站请求伪造(Cross
‑
site request forgery,缩写为CSRF)利用受攻击网域的cookie(即某些网站为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的数据),在使用者不知情的情况下伪造用户的请求,并且通过特定的手段使得该请求在用户的浏览器发出。由于请求携带了用户的cookie信息,请求会成功的被服务器执行,此时攻击者便可以获取或篡改用户的重要信息。
[0003]相关技术中,可以采用检查Referer字段(即HTTP请求header的一部分,当浏览器向服务器发送请求的时候,头信息里有包含Referer字段)、输入验证码信息或利用Token(即服务端生成的一串字符串,以作客户端进行请求的一个令牌)信息的处理方式来防御CSRF攻击。
[0004]但是,Referer字段有被篡改的风险,无法有效预防CSRF攻击;每次发起请求都要输入验证码信息,降低了用户的使用体验感;若Token信息被获取,CSRF攻击仍能正常发起。因而,相关技术的CSRF攻击防御方法只让客服端或服务器去判断请求真伪,不能在减少用户体验感的基础上有效防御CSRF攻击。
[0005]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0006]本公开实施例提供一种跨站请求伪造攻击防御方法及装置、电子设备及计算机可读存储介质,解决只让客服端或服务器去判断请求真伪的问题,能够在不影响用户体验的基础上,实现对CSRF攻击的有效防御。
[0007]本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
[0008]根据本公开的一个方面,提供一种跨站请求伪造攻击防御方法,所述方法由客户端执行,包括:启动交互插件脚本,通过所述交互插件脚本设置请求接口的确认位信息;向服务器发送请求信息,接收所述服务器返回的请求接口的验证码信息,所述请求信息包括所述请求接口的确认位信息;通过所述交互插件脚本,对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向所述服务器返回所述混合加密信息;在所述服务器对所述混合加密信息进行校验处理后,接收所述服务器返回的请求结果。
[0009]在本公开一些实施例中,所述方法包括:显示信息交互控件,所述信息交互控件用于启动所述交互插件脚本。
[0010]在本公开一些实施例中,在获得混合加密信息之后,所述方法还包括:设置所述请求接口的确认位信息为原始值,停用所述交互插件脚本。
[0011]在本公开一些实施例中,所述对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,包括:拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,利用加密算法对所述目标拼接信息进行加密,获得所述混合加密信息。
[0012]在本公开一些实施例中,所述拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,包括:按照预先指定的位置,将所述请求接口的确认位信息插入所述请求接口的验证码信息中,获得所述目标拼接信息。
[0013]在本公开一些实施例中,所述预先指定的位置为根据所述请求接口的验证码信息的首位数字确定的。
[0014]根据本公开的另一个方面,提供一种跨站请求伪造攻击防御方法,所述方法由服务器执行,包括:接收客户端发送的请求信息,所述请求信息包含所述客户端通过交互插件脚本设置的请求接口的确认位信息;生成请求接口的验证码信息,向所述客户端返回所述请求接口的验证码信息;接收所述客户端返回的混合加密信息,所述混合解密信息是所述客户端通过所述交互插件脚本对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理生成的;对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果。
[0015]在本公开一些实施例中,所述对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果,包括:解密所述混合加密信息,获得解密后的确认位信息和解密后的验证码信息;判断所述解密后的确认位信息和所述请求接口的确认位信息、以及所述解密后的验证码信息和所述请求接口的验证码信息是否相同;若是,则所述服务器确定校验通过,响应所述请求信息,向所述客户端返回所述请求信息的响应结果;若否,则所述服务器确定校验不通过,拒绝所述请求信息,向所述客户端返回拒绝所述请求信息的结果。
[0016]根据本公开的又一个方面,提供一种跨站请求伪造攻击防御装置,应用于客户端,包括:确认位信息设置模块,用于启动交互插件脚本,通过所述交互插件脚本设置请求接口的确认位信息;验证码信息接收模块,用于向服务器发送请求信息,接收所述服务器返回的请求接口的验证码信息,所述请求信息包括所述请求接口的确认位信息;信息加密模块,用于通过所述交互插件脚本,对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向所述服务器返回所述混合加密信息;请求结果接收模块,用于在所述服务器对所述混合加密信息进行校验处理后,接收所述服务器返回的请求结果。
[0017]根据本公开的又一个方面,提供一种跨站请求伪造攻击防御装置,应用于服务器,包括:请求信息接收模块,用于接收客户端发送的请求信息,所述请求信息包含所述客户端通过交互插件脚本设置的请求接口的确认位信息;验证码信息生成模块,用于生成请求接口的验证码信息,向所述客户端返回所述请求接口的验证码信息;加密信息接收模块,用于接收所述客户端返回的混合加密信息,所述混合解密信息是所述客户端通过所述交互插件脚本对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理生成
的;信息校验模块,用于对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果。
[0018]根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述实施例中所述的跨站请求伪造攻击防御方法。
[0019]根据本公开的又一个方面,提供一种电子设备,包括:一个或多个处理器;存储装置,配置为存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中所述的跨站请求伪造攻击防御方法。
[0020]本公开的实施例提供的技术方案至少带来以下有益效果:客户端先启动交互插件脚本功能,然后通过该脚本设置请求接口的确认位信息,向服务器发送包括确认位信息的请求信息,服务器在接收到该请求信息后对请求不做处理,向客户端返回请求接口的验证码信息,这样客户本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种跨站请求伪造攻击防御方法,其特征在于,所述方法由客户端执行,包括:启动交互插件脚本,通过所述交互插件脚本设置请求接口的确认位信息;向服务器发送请求信息,接收所述服务器返回的请求接口的验证码信息,所述请求信息包括所述请求接口的确认位信息;通过所述交互插件脚本,对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,获得混合加密信息,向所述服务器返回所述混合加密信息;在所述服务器对所述混合加密信息进行校验处理后,接收所述服务器返回的请求结果。2.根据权利要求1所述的方法,其特征在于,所述方法包括:显示信息交互控件,所述信息交互控件用于启动所述交互插件脚本。3.根据权利要求1所述的方法,其特征在于,在获得混合加密信息之后,所述方法还包括:设置所述请求接口的确认位信息为原始值,停用所述交互插件脚本。4.根据权利要求1所述的方法,其特征在于,所述对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理,包括:拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,利用加密算法对所述目标拼接信息进行加密,获得所述混合加密信息。5.根据权利要求4所述的方法,其特征在于,所述拼接所述请求接口的确认位信息和所述请求接口的验证码信息,获得目标拼接信息,包括:按照预先指定的位置,将所述请求接口的确认位信息插入所述请求接口的验证码信息中,获得所述目标拼接信息。6.根据权利要求5所述的方法,其特征在于,所述预先指定的位置为根据所述请求接口的验证码信息的首位数字确定的。7.一种跨站请求伪造攻击防御方法,其特征在于,所述方法由服务器执行,包括:接收客户端发送的请求信息,所述请求信息包含所述客户端通过交互插件脚本设置的请求接口的确认位信息;生成请求接口的验证码信息,向所述客户端返回所述请求接口的验证码信息;接收所述客户端返回的混合加密信息,所述混合解密信息是所述客户端通过所述交互插件脚本对所述请求接口的确认位信息和所述请求接口的验证码信息进行拼接加密处理生成的;对所述混合加密信息进行校验处理,根据校验处理结果对所述请求信息进行处理,向所述客户端返回请求结果。8.根据权利要求7所述的方法,其特征在于,所述对所述混合加密信息进行校验处理,根据校验处理结果对所述请求...
【专利技术属性】
技术研发人员:夏锦辉,汪来富,刘东鑫,邓博仁,金华敏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。