| 发明名称 | 一种防御跨站请求伪造CSRF攻击的方法、系统和装置 | ||
| 摘要 | 本发明实施例公开了一种防御跨站请求伪造CSRF攻击的方法、系统和装置。包括:网站服务器向登录成功的客户端发送会话cookie,所述会话cookie包括token值;客户端根据源网站服务器的完整域名,读取与该完整域名对应的会话cookie以及该会话cookie中的token值,将该会话cookie携带在http请求的包头中,将该token值携带在http请求的包体里,向目标网站服务器发送该http请求;目标网站服务器将cookie中的token值和从http请求包体中读取的token值进行比较,如果不一致、或无法从cookie中读取token值,则不进行业务处理。应用本发明能够防御CSRF攻击。 | ||
| 申请公布号 | CN103312666B | 申请公布日期 | 2016.03.16 |
| 申请号 | CN201210061000.3 | 申请日期 | 2012.03.09 |
| 申请人 | 腾讯科技(深圳)有限公司 | 发明人 | 操龙敏;龙丁奋;郭学亨;朱磊 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京德琦知识产权代理有限公司 11018 | 代理人 | 张玉波;宋志强 |
| 主权项 | 一种防御跨站请求伪造CSRF攻击的方法,其特征在于,该方法包括:网站服务器向登录成功的客户端发送会话cookie,客户端接收所述会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系,所述会话cookie包括随机口令token值;客户端在向目标网站服务器提交http请求时,根据请求该客户端发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将该会话cookie携带在http请求的包头中,将该token值携带在http请求的包体里,向该目标网站服务器提交该http请求;目标网站服务器接收客户端发来的http请求,从所述http请求的包头中读取会话cookie,从所述http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,则根据所述http请求进行业务处理,如果不一致、或无法从所述cookie中读取token值,则不进行所述业务处理。 | ||
| 地址 | 518044 广东省深圳市福田区振兴路赛格科技园2栋东403室 | ||