[发明专利]一种用于防止CSRF攻击的方法和设备

说明书

技术领域

本发明涉及网络安全，更具体地，本发明涉及一种用于防止网络攻击的方法和设备。

背景技术

随着互联网应用的越来越广泛，互联网安全问题成了人们日益关注的问题。在现有的多种威胁网络安全的攻击方法中，跨站请求伪造(CSRF)攻击是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计，例如通过电子邮件或者是聊天软件发送的链接，攻击者就能迫使一个Web应用程序的用户去执行攻击者选择的操作。例如，如果用户登录网络银行去查看其存款余额，他没有退出网络银行系统就去了自己喜欢的论坛，如果攻击者在论坛中精心构造了一个恶意的链接并诱使该用户点击了该链接，那么该用户在网络银行帐户中的资金就有可能被转移到攻击者指定的帐户中。当CSRF针对普通用户发动攻击时，将对终端用户的数据和操作指令构成严重的威胁；当受攻击的终端用户具有管理员帐户的时候，CSRF攻击将危及整个Web应用程序，因而CSRF攻击的危害性很大。

针对CSRF攻击，一种最安全的防止方法就是对现存的所有服务器进行改造使其能够防范CSRF攻击。但这种做法明显不切实际。针对现存的服务器，现有技术中存在的一些其他的解决方案也都不能有效地防止CSRF攻击。因此，需要一种方法和设备能够有效地防止CSRF攻击。

发明内容

本公开说明性实施例中认识到现有技术中不能有效地防止CSRF攻击的问题，提出了一种在不修改现有服务器的前提下能够有效防止CSRF攻击的方法和设备。

根据本公开的一个实施例，提供了一种用于防止CSRF攻击的设备，包括：请求拦截模块，用于拦截客户端浏览器向服务器发送的请求；令牌生成模块，用于生成令牌；响应生成模块，用于生成对请求的响应；令牌插入模块，用于将令牌插入到对请求的响应中；以及响应发送模块，用于向客户端浏览器发送插入了令牌的对请求的响应。

根据本公开的一个实施例，提供了一种用于防止CSRF攻击的设备，包括：请求拦截模块，用于拦截客户端浏览器向服务器发送的请求；令牌读取模块，用于读取客户端浏览器向服务器发送的后续请求中的令牌；令牌验证模块，用于验证客户端浏览器向服务器发送的后续请求中的令牌是否有效。

根据本公开的一个实施例，提供了一种用于防止CSRF攻击的方法，包括：拦截客户端浏览器向服务器发送的请求；生成令牌；生成对请求的响应；将令牌插入到对请求的响应中；以及向客户端浏览器发送插入了令牌的对请求的响应。

根据本公开的一个实施例，提供了一种用于防止CSRF攻击的方法，包括：拦截客户端浏览器向服务器发送的请求；读取客户端浏览器向服务器发送的请求中的令牌；验证客户端浏览器向服务器发送的请求中的令牌是否有效。

此外，本公开的实施例还提供了与上述方法对应的计算机程序产品。

利用本公开实施例提供的上述一个或多个实施例，能够在不修改现有服务器的前提下，有效地防止CSRF攻击。

附图说明

本公开可以通过参考下文中结合附图所给出的描述而得到更好的理解，其中在所有附图中使用了相同或相似的附图标记来表示相同或者相似的部件。所述附图连同下面的详细说明一起包含在本说明书中并且形成本说明书的一部分，而且用来进一步举例说明本公开的优选实施例和解释本公开的原理和优点。在附图中：

图1显示了CSRF攻击的原理图；

图2显示了根据本公开的一个实施例的用于防止CSRF攻击的方法200；

图3a显示了根据本公开一个实施例的用于防止CSRF攻击的方法300；

图3b显示了根据本公开一个实施例的用于防止CSRF攻击的方法300可以包括的一些可选步骤；

图4显示了根据本公开实施例的信号流程。

具体实施方式

在下文中将结合附图对本公开的示范性实施例进行描述。为了清楚和简明起见，在说明书中并未描述实际实施方式的所有特征。然而，应该了解，在开发任何这种实际实施例的过程中必须做出很多特定于该实际实施方式的决定，以便实现开发人员的具体目标，例如，符合与系统及业务相关的那些限制条件，并且这些限制条件可能会随着实施方式的不同而有所改变。此外，还应该了解，虽然开发工作有可能是非常复杂和费时的，但对得益于本公开公开内容的本领域技术人员来说，这种开发工作仅仅是例行的任务。