发明名称 |
一种防御跨站请求伪造CSRF攻击的方法、系统和装置 |
摘要 |
本发明实施例公开了一种防御跨站请求伪造CSRF攻击的方法、系统和装置。包括:网站服务器向登录成功的客户端发送会话cookie,所述会话cookie包括token值;客户端根据源网站服务器的完整域名,读取与该完整域名对应的会话cookie以及该会话cookie中的token值,将该会话cookie携带在http请求的包头中,将该token值携带在http请求的包体里,向目标网站服务器发送该http请求;目标网站服务器将cookie中的token值和从http请求包体中读取的token值进行比较,如果不一致、或无法从cookie中读取token值,则不进行业务处理。应用本发明能够防御CSRF攻击。 |
申请公布号 |
CN103312666B |
申请公布日期 |
2016.03.16 |
申请号 |
CN201210061000.3 |
申请日期 |
2012.03.09 |
申请人 |
腾讯科技(深圳)有限公司 |
发明人 |
操龙敏;龙丁奋;郭学亨;朱磊 |
分类号 |
H04L29/06(2006.01)I;H04L29/08(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京德琦知识产权代理有限公司 11018 |
代理人 |
张玉波;宋志强 |
主权项 |
一种防御跨站请求伪造CSRF攻击的方法,其特征在于,该方法包括:网站服务器向登录成功的客户端发送会话cookie,客户端接收所述会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系,所述会话cookie包括随机口令token值;客户端在向目标网站服务器提交http请求时,根据请求该客户端发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将该会话cookie携带在http请求的包头中,将该token值携带在http请求的包体里,向该目标网站服务器提交该http请求;目标网站服务器接收客户端发来的http请求,从所述http请求的包头中读取会话cookie,从所述http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,则根据所述http请求进行业务处理,如果不一致、或无法从所述cookie中读取token值,则不进行所述业务处理。 |
地址 |
518044 广东省深圳市福田区振兴路赛格科技园2栋东403室 |