[发明专利]一种网页请求安全处理方法及系统

说明书

技术领域

本发明涉及互联网安全领域，尤其涉及一种网页请求安全处理方法及系统。

背景技术

互联网中的信息安全问题一直是该领域中非常重要的问题。其中，CSRF（Cross-site request forgery，跨站请求伪造）是一种常见的通过对网页的恶意利用从而盗取用户信息的一种技术，该技术也被称成为“one click attack”或者“session riding”，还可缩写为XSRF。

CSRF利用用户在已登陆网站A上的登陆状态，在B网站的页面上通过http（HyperText Transfer Protocol，超文本传输协议）请求（隐藏的图片或者脚本引用）的方式在A网站上进行需要登陆验证的操作，从而达到攻击或窃取隐私信息的目的。这在多窗口浏览器中尤为常见。

由于浏览器本身的特性，在发起一个url请求时会自动在请求的数据包中附加上浏览器在该url的所在域名下的相关cookie数据。

当用户在一个浏览器窗口中登陆了A网站，再同时开另外一个窗口访问B网站。如果B网页中的一个元素发起了一个A网站某个页面的请求，这时这个请求会自动被浏览器带上用户在A网站的cookie，从而实现以登陆后的身份对A网站的操作。

其中请求的发起操作有多种形式，一般表现为把请求的url作为页面中图片、iframe之类元素的路径来实现，比较复杂的会通过隐藏的脚本代码或者flash组件来发起。

基于上述的原理，若用户在一个多窗口浏览器中购物网页进行了登陆，黑客通过在某网页中加入特定的链接，该链接则可能是伪造的上述购物网页的付费链接，则当用户同时打开该某网页时则相当于向用户已登录的购物网页发送了付费请求。

为了防御上述的CSRF攻击，在现有技术中提出了三种方式：

（1）通过人工或系统扫描寻找存在CSRF漏洞的网页和接口，开发人员收到漏洞报告后，针对性的进行相应的修复；

（2）瞬时授权方法：每次访问请求使用一个临时token来做为访问的安全标记；

（3）用post代替get方式提交数据请求。

但是上述三种方法分别具有自身的局限性：

（1）人力成本高、被动：需要开发人员不断的对发现的漏洞进行跟进修复；无法保证所有的CSRF漏洞都能及时发现并解决;且无法杜绝后续开发中新的CSRF漏洞出现；

（2）开发成本高：同样功能开发需要使用更复杂的设计方案，且不适用于静态网页；

（3）安全性差、开发成本高：攻击者可以通过多种方式模拟post请求；如果需要在已经成熟的网站上进行部署的话需要投入大量的资源进行代码调整。

发明内容

本发明实施例所要解决的技术问题在于，提供一种网页请求安全处理方法及系统。可在对整个系统改造小的情况下实现对CRSF攻击的识别和防御。

为了解决上述技术问题，本发明实施例提供了一种网页请求安全处理方法，包括：

步骤1、浏览器侧的当前网页构造加密的当前网页的登陆信息；

步骤2、浏览器侧发送所述当前网页的网页请求，所述网页请求中包括所述加密的当前网页的登录信息，并还包括浏览器添加的当前网页的登录信息；

步骤3、服务器侧接收所述网页请求，将所述网页请求中的加密的当前网页的登录信息与加密后的浏览器添加的当前网页的登录信息进行匹配，若匹配结果为不符，则中断所述网页请求，若匹配结果为相符，则正常响应所述网页请求。

其中，步骤3可包括：

服务器侧接收所述网页请求，并判断所述网页请求是否为预定义的白名单中的网页请求；

若判断结果为否，则正常响应所述网页请求；

若判断结果为是，则将所述网页请求中的加密的当前网页的登录信息与加密后的浏览器添加的当前网页的登录信息进行匹配，若匹配结果为不符，则中断所述网页请求，若匹配结果为相符，则正常响应所述网页请求。

本方法还包括管理所述白名单。

步骤1还包括：

当前网页脚本根据用户在当前网页登陆后保存在cookie中的登录会话的加密值构造加密的当前网页的登陆信息。

步骤2还包括：

所述当前网页将所述加密的当前网页的登录信息以参数形式添加到所述当前网页的链接中；

浏览器发送与所述链接对应的网页请求，所述网页请求中包括所述链接信息，和与所述链接相关的登录信息。

相应的，本发明实施例还提供了一种网页请求安全处理系统，包括：