CN113783824A - 防止跨站请求伪造的方法、装置、客户端、***及介质 - Google Patents
防止跨站请求伪造的方法、装置、客户端、***及介质 Download PDFInfo
- Publication number
- CN113783824A CN113783824A CN202010524868.7A CN202010524868A CN113783824A CN 113783824 A CN113783824 A CN 113783824A CN 202010524868 A CN202010524868 A CN 202010524868A CN 113783824 A CN113783824 A CN 113783824A
- Authority
- CN
- China
- Prior art keywords
- webpage
- token
- url
- server
- credible
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种防止跨站请求伪造的方法、装置、客户端、网络***以及存储介质,涉及计算机技术领域,其中的方法包括:接收服务端发送的原始token,验证第一网页是否为可信网页;如果第一页面为可信网页,则存储原始token;当判断需要向服务端发送POST请求时,则验证第二网页是否为可信网页;如果第二网页为可信网页,则获取被存储的原始token进行预设处理,生成新token值;向服务端发送携带有新token值的POST请求。本公开的方法、装置以及存储介质,能够避免因为发送HTTP请求而泄露token的情况,可以避免页面被黑客网站嵌套的风险,使得用户token的安全性得到很大的提高。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种防止跨站请求伪造的方法、装置、客户端、网络***以及存储介质。
背景技术
传统的防御跨站请求伪造攻击一般采用token验证,客户端用户使用用户名密码登录,服务端验证成功后返回token,客户端存储token,前端需要向后端发送请求时携带token,后端验证token后返回相应数据。但是,现有的token验证方式存在漏洞:在所有请求后都加上token,如果在论坛类网站中用户点击链接跳转,则会带着用户的token到达其他网站的链接页面,容易泄露用户的token,引起安全隐患。
发明内容
有鉴于此,本发明要解决的一个技术问题是提供一种防止跨站请求伪造的方法、装置、客户端、网络***以及存储介质。
根据本公开的第一方面,提供一种防止跨站请求伪造的方法,包括:接收服务端发送的原始token,验证第一网页是否为可信网页;如果所述第一页面为可信网页,则存储所述原始token;当判断需要向所述服务端发送POST请求时,则验证第二网页是否为可信网页;如果所述第二网页为可信网页,则获取被存储的所述原始token进行预设处理,生成新token值;向所述服务端发送携带有所述新token值的POST请求,以使所述服务端对所述新token值进行合法性检验。
可选地,所述接收服务端发送的原始token包括:向所述服务端发送登录验证信息;其中,所述登录验证信息包括:用户名和密码;接收所述服务端在对所述登录验证信息认证成功之后返回的所述原始token。
可选地,所述验证第一网页是否为可信网页包括:获取顶层页面,作为所述第一网页;获取所述第一网页的第一URL,基于预设的可信URL列表验证所述第一URL是否为可信URL;如果所述第一URL为可信URL,则确定所述第一网页为可信网页,如果所述第一URL不为可信URL,则进行提醒处理。
可选地,所述存储所述原始token包括:在存储单元中存储所述原始token;其中,所述存储单元包括所述cookie、所述localStorage或所述sessionStorage。
可选地,所述验证第二网页是否为可信网页包括:获取顶层页面,作为所述第二网页;获取所述第二网页的第二URL,基于所述可信URL列表验证所述第二URL是否为可信URL;如果所述第二URL为可信URL,则确定所述第二网页为可信网页,如果所述第二URL不为可信URL,则进行提醒处理。
可选地,所述获取被存储的所述原始token进行预设处理,生成新token值包括:在所述存储单元中读取预先存储的所述原始token;对所述原始token进行加盐处理,生成所述新token值。
可选地,所述服务端对所述新token值进行合法性检验包括:所述服务端对所述新token值进行所述加盐处理的逆操作,获取所述原始token;所述服务端对所述原始token进行合法性验证;如果验证成功,则所述服务端返回与所述POST请求相对应的数据;如果验证失败,则所述服务端返回提示信息。
可选地,当向所述服务端发送GET请求时,在所述GET请求中不添加所述原始token或所述新token值。
根据本公开的第二方面,提供一种防止跨站请求伪造的装置,包括:标识接收模块,用于接收服务端发送的原始token;验证模块,用于验证第一网页是否为可信网页;存储模块,用于如果所述第一页面为可信网页,则存储所述原始token;所述验证模块,还用于当判断需要向所述服务端发送POST请求时,则验证第二网页是否为可信网页;新值生成模块,用于如果所述第二网页为可信网页,则获取被存储的所述原始token进行预设处理,生成新token值;请求发送模块,用于向所述服务端发送携带有所述新token值的POST请求,以使所述服务端对所述新token值进行合法性检验。
根据本公开的第三方面,提供一种防止跨站请求伪造的装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上所述的方法。
根据本公开的第四方面,提供一种客户端,包括:如上的防止跨站请求伪造的装置。
根据本公开的第五方面,提供一种网络***,包括:服务器和如上所述的客户端。
根据本公开的第六方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行如上的方法。
本公开的防止跨站请求伪造的方法、装置、客户端、网络***以及存储介质,保证在页面可信的前提下发送token进行验证,能够避免因为发送HTTP请求而泄露token的情况,对浏览器中存储的token进行处理,避免因为浏览器的不安全而泄露token,并且也可以避免页面被黑客网站嵌套的风险,使得用户token的安全性得到很大的提高。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为根据本公开的防止跨站请求伪造的方法的一个实施例的流程示意图;
图2为根据本公开的防止跨站请求伪造的方法的一个实施例中的获取原始token的流程示意图;
图3为根据本公开的防止跨站请求伪造的方法的另一个实施例的流程示意图;
图4为根据本公开的防止跨站请求伪造的装置的一个实施例的模块示意图;
图5为根据本公开的防止跨站请求伪造的装置的另一个实施例的模块示意图。
具体实施方式
下面参照附图对本公开进行更全面的描述,其中说明本公开的示例性实施例。下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。下面结合各个图和实施例对本公开的技术方案进行多方面的描述。
下文中的“第一”、“第二”等仅用于描述上相区别,并没有其它特殊的含义。
图1为根据本公开的防止跨站请求伪造的方法的一个实施例的流程示意图,如图1所示:
步骤101,接收服务端发送的原始token,验证第一网页是否为可信网页。
Token是服务端生成的一串字符串,可以作为客户端进行请求的一个令牌。当客户端第一次登录后,服务器生成一个Token,将此Token返回给客户端,之后客户端只需携带此Token请求数据即可,无需再次携带用户名和密码。使用Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。原始token是指服务端发送的、没有经过加密等处理的token。
步骤102,如果第一页面为可信网页,则存储原始token。
步骤103,当判断需要向服务端发送POST请求时,则验证第二网页是否为可信网页。POST请求是HTTP协议中的一种请求,HTTP协议是以ASCII码传输,建立在TCP/IP协议之上的应用层规范。
步骤104,如果第二网页为可信网页,则获取被存储的原始token进行预设处理,生成新token值。预设处理可以为多种处理,例如为加密处理、加盐处理等。
步骤105,向服务端发送携带有新token值的POST请求,以使服务端对新token值进行合法性检验。
图2为根据本公开的防止跨站请求伪造的方法的一个实施例中的获取原始token的流程示意图,如图2所示:
步骤201,向服务端发送登录验证信息,登录验证信息包括用户名和密码等。
步骤202,接收服务端在对登录验证信息认证成功之后返回的原始token。
在一个实施例中,获取顶层页面,作为第一网页,顶层页面是指没有父页面的页面。获取第一网页的第一URL(Uniform Resource Locator,统一资源定位符),基于预设的可信URL列表验证第一URL是否为可信URL。如果第一URL为可信URL,则确定第一网页为可信网页,如果第一URL不为可信URL,则进行提醒处理。
如果页面被嵌套,则可能会出现黑客引导用户点击,导致被攻击的情况。构建JS(JavaScript)模块,在模块中将可信URL定义为常量对象的属性名,并冻结此对象。可以预先设置可信URL列表,可信URL列表中的URL为可信的URL,可以将可信URL列表中的可信URL存在JS模块内,此JS模块设置在客户端的页面中。
在JS模块内设置验证方法,用于验证顶层页面的第一URL(例如为top.location.href等)是否存在于可信URL列表中,可信URL列表不能被修改。如果第一URL在可信URL列表中,则第一URL为可信URL,则确定第一网页为可信网页;如果第一URL不在可信URL列表中,则第一URL不为可信URL,提示存在CSRF(Cross-site request forgery,跨站请求伪造)风险。
在一个实施例中,在存储单元中存储原始token,存储单元包括cookie、localStorage或sessionStorage等。当判断需要向服务端发送POST请求时,获取顶层页面,作为第二网页;第一网页与第一网页可以相同也可以不同。获取第二网页的第二URL,基于可信URL列表验证第二URL是否为可信URL。如果第二URL在可信URL列表中,则第二URL为可信URL,确定第二网页为可信网页,如果第二URL不为可信URL,则进行提醒处理,提示存在CSRF风险。
当判断需要读token,从cookie或localStorage或sessionStorage中读取原始token。可以使用cookie、localStorage、sessiontorage存储的token与服务端进行验证,则存在因浏览器的不安全导致的风险。对原始token进行加盐处理等,生成新token值。如果对原始token不进行加盐等处理,则可能会被破译。加盐处理是人为的通过一组随机字符与用户的原始token的组合形成一个新的字符,从而增加破译的难度。可以使用现有的多种加盐处理方法。
在需要发送POST请求的页面引入JS模块,调用JS模块中的方法,获取加盐后的token,携带token向服务端发送请求。服务端对新token值进行加盐处理的逆操作,获取原始token;服务端对原始token进行合法性验证;如果验证成功,则服务端返回与POST请求相对应的数据;如果验证失败,则服务端返回提示信息,提示存在CSRF风险。
通过验证顶层页面URL,避免了页面被黑客网站嵌套的风险。约定网站内GET请求只用于请求保密性不高的数据,则GET请求无需携带token进行验证;为了避免因GET请求泄露token,当向服务端发送GET请求时,在GET请求中不添加原始token或新token值。服务端不验证GET请求,即不在链接后加token,则不存在泄露风险。
图3为根据本公开的防止跨站请求伪造的方法的另一个实施例的流程示意图,如图3所示:
步骤301,使用用户名和密码请求登录。
步骤302,服务端验证登录是否成功,如果成功,返回原始token,进入步骤304,如果失败,进入步骤303。
步骤303,显示登录失败。
步骤304,验证顶层页面URL。客户端调用JS模块的方法,验证顶层页面URL是否可信,如果通过,进入步骤305,如果失败,进入步骤309。
步骤305,将服务器返回的原始token存入cookie、localStorage或sessionStorage。
步骤306,需要向服务器发送POST请求。
步骤307,验证顶层页面URL。在有POST请求的页面引入JS模块,在需要发送POST请求前调用JS模块中的方法,验证顶层页面URL,如果失败,进入步骤309,如果成功,进入步骤308。
步骤308,从cookie或localStorage或sessionStorage获取原始token,加盐后返回。
步骤309,提示存在跨站请求伪造CSRF风险。
步骤310,携带token发送POST请求。POST请求携带token,在服务端进行验证。
步骤311,验证token的合法性。
步骤312,显示提示信息。如果不合法,返回验证失败信息。
步骤313,展示信息。如果验证成功,返回相应的数据。
在一个实施例中,如图4所示,本公开提供一种防止跨站请求伪造的装置40,包括:标识接收模块41、验证模块42、存储模块43、新值生成模块44和请求发送模块45。标识接收模块41接收服务端发送的原始token。验证模块42验证第一网页是否为可信网页。
如果第一页面为可信网页,则存储模块43存储原始token。当判断需要向服务端发送POST请求时,则验证模块42验证第二网页是否为可信网页。如果第二网页为可信网页,则新值生成模块44获取被存储的原始token进行预设处理,生成新token值。请求发送模块45向服务端发送携带有新token值的POST请求,以使服务端对新token值进行合法性检验。
标识接收模块41向服务端发送登录验证信息;其中,登录验证信息包括用户名和密码等。标识接收模块41接收服务端在对登录验证信息认证成功之后返回的原始token。
验证模块42获取顶层页面,作为第一网页。验证模块42获取第一网页的第一URL,基于预设的可信URL列表验证第一URL是否为可信URL。如果第一URL为可信URL,则验证模块42确定第一网页为可信网页,如果第一URL不为可信URL,则进行提醒处理。存储模块42在存储单元中存储原始token,存储单元包括cookie、localStorage或sessionStorage等。
验证模块42获取顶层页面,作为第二网页。验证模块42获取第二网页的第二URL,基于可信URL列表验证第二URL是否为可信URL。如果第二URL为可信URL,则验证模块42确定第二网页为可信网页,如果第二URL不为可信URL,则进行提醒处理。
新值生成模块44在存储单元中读取预先存储的原始token;对原始token进行加盐处理,生成新token值。服务端对新token值进行加盐处理的逆操作,获取原始token。如果验证成功,则服务端返回与POST请求相对应的数据;如果验证失败,则服务端返回提示信息。当向服务端发送GET请求时,请求发送模块45在GET请求中不添加原始token或新token值。
在一个实施例中,图5为根据本公开的防止跨站请求伪造的装置的另一个实施例的模块示意图。如图5所示,该装置可包括存储器51、处理器52、通信接口53以及总线54。存储器51用于存储指令,处理器52耦合到存储器51,处理器52被配置为基于存储器51存储的指令执行实现上述的防止跨站请求伪造的方法。
存储器51可以为高速RAM存储器、非易失性存储器(non-volatile memory)等,存储器51也可以是存储器阵列。存储器51还可能被分块,并且块可按一定的规则组合成虚拟卷。处理器52可以为中央处理器CPU,或专用集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本公开的防止跨站请求伪造的方法的一个或多个集成电路。
在一个实施例中,本公开提供一种客户端,包括如上任一实施例中的防止跨站请求伪造的装置。
在一个实施例中,本公开提供一种网络***,包括服务器和如上任一实施例中的客户端。
在一个实施例中,本公开提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上任一个实施例中的防止跨站请求伪造的方法。
上述实施例提供的防止跨站请求伪造的方法、装置、客户端、网络***以及存储介质,保证在页面可信的前提下发送token进行验证,能够避免因为发送HTTP请求而泄露token的情况,对浏览器中存储的token进行处理,避免因为浏览器的不安全而泄露token,并且也可以避免页面被黑客网站嵌套的风险,使得用户Token的安全性得到很大的提高。
可能以许多方式来实现本公开的方法和***。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和***。用于方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (13)
1.一种防止跨站请求伪造的方法,包括:
接收服务端发送的原始token,验证第一网页是否为可信网页;
如果所述第一页面为可信网页,则存储所述原始token;
当判断需要向所述服务端发送POST请求时,则验证第二网页是否为可信网页;
如果所述第二网页为可信网页,则获取被存储的所述原始token进行预设处理,生成新token值;
向所述服务端发送携带有所述新token值的POST请求,以使所述服务端对所述新token值进行合法性检验。
2.如权利要求1所述的方法,所述接收服务端发送的原始token包括:
向所述服务端发送登录验证信息;其中,所述登录验证信息包括:用户名和密码;
接收所述服务端在对所述登录验证信息认证成功之后返回的所述原始token。
3.如权利要求1所述的方法,所述验证第一网页是否为可信网页包括:
获取顶层页面,作为所述第一网页;
获取所述第一网页的第一URL,基于预设的可信URL列表验证所述第一URL是否为可信URL;
如果所述第一URL为可信URL,则确定所述第一网页为可信网页,如果所述第一URL不为可信URL,则进行提醒处理。
4.如权利要求3所述的方法,所述存储所述原始token包括:
在存储单元中存储所述原始token;其中,所述存储单元包括所述cookie、所述localStorage或所述sessionStorage。
5.如权利要求3所述的方法,所述验证第二网页是否为可信网页包括:
获取顶层页面,作为所述第二网页;
获取所述第二网页的第二URL,基于所述可信URL列表验证所述第二URL是否为可信URL;
如果所述第二URL为可信URL,则确定所述第二网页为可信网页,如果所述第二URL不为可信URL,则进行提醒处理。
6.如权利要求4所述的方法,所述获取被存储的所述原始token进行预设处理,生成新token值包括:
在所述存储单元中读取预先存储的所述原始token;
对所述原始token进行加盐处理,生成所述新token值。
7.如权利要求6所述的方法,所述服务端对所述新token值进行合法性检验包括:
所述服务端对所述新token值进行所述加盐处理的逆操作,获取所述原始token;
所述服务端对所述原始token进行合法性验证;
如果验证成功,则所述服务端返回与所述POST请求相对应的数据;
如果验证失败,则所述服务端返回提示信息。
8.如权利要求6所述的方法,还包括:
当向所述服务端发送GET请求时,在所述GET请求中不添加所述原始token或所述新token值。
9.一种防止跨站请求伪造的装置,包括:
标识接收模块,用于接收服务端发送的原始token;
验证模块,用于验证第一网页是否为可信网页;
存储模块,用于如果所述第一页面为可信网页,则存储所述原始token;
所述验证模块,还用于当判断需要向所述服务端发送POST请求时,则验证第二网页是否为可信网页;
新值生成模块,用于如果所述第二网页为可信网页,则获取被存储的所述原始token进行预设处理,生成新token值;
请求发送模块,用于向所述服务端发送携带有所述新token值的POST请求,以使所述服务端对所述新token值进行合法性检验。
10.一种防止跨站请求伪造的装置,包括:
存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至8中任一项所述的方法。
11.一种客户端,包括:
如权利要求9或10所述的防止跨站请求伪造的装置。
12.一种网络***,包括:
服务器和如权利要求11所述的客户端。
13.一种计算机可读存储介质,所述计算机可读存储介质非暂时性地存储有计算机指令,所述指令被处理器执行如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010524868.7A CN113783824B (zh) | 2020-06-10 | 2020-06-10 | 防止跨站请求伪造的方法、装置、客户端、***及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010524868.7A CN113783824B (zh) | 2020-06-10 | 2020-06-10 | 防止跨站请求伪造的方法、装置、客户端、***及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113783824A true CN113783824A (zh) | 2021-12-10 |
| CN113783824B CN113783824B (zh) | 2022-08-30 |
Family
ID=78834790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010524868.7A Active CN113783824B (zh) | 2020-06-10 | 2020-06-10 | 防止跨站请求伪造的方法、装置、客户端、***及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113783824B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296087A (zh) * | 2007-04-23 | 2008-10-29 | Sap股份公司 | 用于防止跨站攻击的方法和*** |
| US20120137363A1 (en) * | 2010-11-30 | 2012-05-31 | Ibm Corporation | Method and Device for Preventing CSRF Attack |
| CN103312666A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 一种防御跨站请求伪造csrf攻击的方法、***和装置 |
| CN103944900A (zh) * | 2014-04-18 | 2014-07-23 | 中国科学院计算技术研究所 | 一种基于加密的跨站请求攻击防范方法及其装置 |
| CN104660556A (zh) * | 2013-11-20 | 2015-05-27 | 深圳市腾讯计算机***有限公司 | 跨站伪造请求漏洞检测的方法及装置 |
| CN106790238A (zh) * | 2017-01-19 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种跨站请求伪造csrf防御认证方法和装置 |
-
2020
- 2020-06-10 CN CN202010524868.7A patent/CN113783824B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296087A (zh) * | 2007-04-23 | 2008-10-29 | Sap股份公司 | 用于防止跨站攻击的方法和*** |
| US20120137363A1 (en) * | 2010-11-30 | 2012-05-31 | Ibm Corporation | Method and Device for Preventing CSRF Attack |
| CN103312666A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 一种防御跨站请求伪造csrf攻击的方法、***和装置 |
| CN104660556A (zh) * | 2013-11-20 | 2015-05-27 | 深圳市腾讯计算机***有限公司 | 跨站伪造请求漏洞检测的方法及装置 |
| CN103944900A (zh) * | 2014-04-18 | 2014-07-23 | 中国科学院计算技术研究所 | 一种基于加密的跨站请求攻击防范方法及其装置 |
| CN106790238A (zh) * | 2017-01-19 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种跨站请求伪造csrf防御认证方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113783824B (zh) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102069759B1 (ko) | 캡차(captcha) 챌린지의 동적 업데이트 | |
| TWI620090B (zh) | 用於偵測網路釣魚之登入失敗序列 | |
| KR101723937B1 (ko) | 애플리케이션 보안 검증을 위한 클라우드 지원형 방법 및 서비스 | |
| US8910247B2 (en) | Cross-site scripting prevention in dynamic content | |
| CN102571846B (zh) | 一种转发http请求的方法及装置 | |
| CN107046544B (zh) | 一种识别对网站的非法访问请求的方法和装置 | |
| US9059985B1 (en) | Methods for fraud detection | |
| US20150222435A1 (en) | Identity generation mechanism | |
| WO2020259389A1 (zh) | 一种csrf漏洞的检测方法及装置 | |
| US20170085567A1 (en) | System and method for processing task resources | |
| US20140380418A1 (en) | System and method for verifying the legitimacy of requests sent from clients to server | |
| CN111817845A (zh) | 反爬虫方法及计算机存储介质 | |
| KR20150033053A (ko) | 사용자 인증 방법 및 장치 | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| CN110581841B (zh) | 一种后端反爬虫方法 | |
| CN111355730A (zh) | 一种平台登录方法、装置、设备及计算机可读存储介质 | |
| CN108390878B (zh) | 用于验证网络请求安全性的方法、装置 | |
| CN111193691B (zh) | 授权方法、***和相关设备 | |
| CN109688109B (zh) | 基于客户端信息识别的验证码的验证方法及装置 | |
| CN113783824B (zh) | 防止跨站请求伪造的方法、装置、客户端、***及介质 | |
| CN111193708A (zh) | 一种基于企业浏览器实现的扫码登录方法和装置 | |
| CN114938313B (zh) | 一种基于动态令牌的人机识别方法及装置 | |
| US20160366172A1 (en) | Prevention of cross site request forgery attacks | |
| CN111371811A (zh) | 一种资源调用方法、资源调用装置、客户端及业务服务器 | |
| CN109428869B (zh) | 钓鱼攻击防御方法和授权服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |