【技术实现步骤摘要】
网页防御方法及相关设备
[0001]本申请实施例涉及互联网
,尤其涉及网页防御方法及相关设备。
技术介绍
[0002]信息发展的时代,计算机应用受到恶意攻击的案例屡见不鲜。对于跨站请求伪造攻击CSRF(Cross
‑
Site Request Forgery)而言,攻击者伪造HTTP链接,诱使用户向已登录的网站发送请求(如修改密码、转账等请求),从而达到攻击者的目的,而这个请求是由用户发送的,对于应用后台来说,这个请求是完全合法的,难以检测。
[0003]目前防御CSRF攻击,需要web前端人员对每一个可能出现CSRF攻击的HTTP接口都做相应修改,使得应用前端发送请求时能携带从后台获取到的token,如此造成的开发工作量较大容易出错,且都是重复工作,效率低下。针对于此,有必要提供有效的解决方案。
技术实现思路
[0004]本申请实施例提供了网页防御方法及相关设备,用于自动添加并验证令牌。
[0005]本申请实施例第一方面提供一种网页防御方法,应用于服务端,包括:>[0006]为访问本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网页防御方法,其特征在于,应用于服务端,包括:为访问目标网页的客户端生成对应的有效令牌,并保存所述有效令牌信息于缓存库中;所述目标网页包含被访问网站的各页面;面对所述客户端后续向所述目标网页发送的操作请求,验证所述操作请求对应的网址是否在白名单上;其中,所述客户端有多个时,采用负载均衡规则将各所述客户端的操作请求发给所述服务端;若在所述白名单上,则确定所述操作请求携带的待验令牌有效,并允许所述客户端操作所述目标网页;若不在所述白名单上,则判断所述待验令牌信息是否保存在所述缓存库中,并确定未缓存的所述待验令牌无效,且向所述客户端返回禁止操作网页的提醒。2.根据权利要求1所述的网页防御方法,其特征在于,若不在所述白名单上,则判断所述待验令牌信息是否保存在所述缓存库中之后,所述方法还包括:确定被缓存的所述待验令牌有效,并允许所述客户端操作所述目标网页。3.根据权利要求1所述的网页防御方法,其特征在于,为访问目标网页的客户端生成对应的有效令牌之前,所述方法还包括:判断所述目标网页被访问时,返回给所述客户端的文件是否为html格式文件;若是,则执行所述为访问目标网页的客户端生成对应的有效令牌的步骤。4.根据权利要求1或3所述的网页防御方法,其特征在于,所述为访问目标网页的客户端生成对应的有效令牌,包括:基于所述客户端的设备标识和/或注册信息配置令牌参数,并通过当前时间设置令牌有效时间,以生成所述有效令牌。5.一种网页防御方法,其特征在于,应用于客户端,包括:从被访问网站返回的html格式文件中,查找服务端为所述客户端生成的待验令牌信息;基于所述待验令牌信息配置针对所述目标网页的操作请求,使得所述服务端接收所述操作请求后,得以验证所述待验令牌是否为有效令牌,并在为有效令牌的情况下允许所述客户端操作所述目标网页;其中,所述客户端有多个时,采用负载均衡规则将各所...
【专利技术属性】
技术研发人员:陈扬,戴裕文,王欢,陈明哲,许丹昊,杨建明,
申请(专利权)人:深圳证券信息有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。