[发明专利]用于防止跨站点请求伪造的方法、相关装置及系统

说明书

技术领域

本发明涉及一种计算机技术领域，尤其涉及一种用于防止跨站点请求伪造的方法、相关装置及系统。 

背景技术

CSRF（Cross-site request forgery，跨站点请求伪造）是指第三方网站欺骗用户的浏览器，根据浏览器中用户的cookie信息伪造HTTP请求发送给某一目标站点，从而达到利用用户的cookie信息中的标识、登录信息等对目标站点的服务器进行诸如用户名修改等操作，使得在用户不知情的情况下对该用户的某些信息进行修改。 

目前防止CSRF的现有技术采用的方案为：服务器预先通过种cookie的方式，为客户端中浏览器打开的某一网页页面种上一个标识（称为basekey），浏览器的该网页页面在请求相应服务时，浏览器都要从cookie里边取出该标识放在请求参数里边发送给服务器。服务器根据请求参数中的basekey，可以知道该请求的合法性。 

现有技术能够较好地解决CSRF的问题，但是，发明人发现，服务器分配的cookie信息植入的标识basekey是服务器通过一定转换算法直接生成的，恶意程序或者脚本等还是有可能根据服务器相同的算法计算得到一个标识与本网页标识basekey相同，这就使得CSRF的防止功能无效，给用户带来损失。 

发明内容

本发明实施例所要解决的技术问题在于，提供一种用于防止跨站点请求伪造的方法、相关装置及系统，可以较为有效地防止CSRF。 

为了解决上述技术问题，本发明实施例提供了一种用于防止跨站点请求伪造的方法，包括： 

客户端在接收到浏览器的页面消息时，获取发起该页面消息的目标网页页面的cookie信息； 

客户端若接收到设置在所述目标网页页面上的转换脚本生成的第一转换标识，则生成包括所述第一转换标识和所述cookie信息的页面请求消息； 

客户端将所述页面请求消息发送给服务器，使所述服务器根据所述cookie信息包括的用户标识和所述第一转换标识对所述页面请求消息进行鉴权； 

其中，所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网页页面的cookie信息提取的用户标识进行转换后得到的。 

其中，还包括：客户端若没有接收到设置在所述目标网页页面上的转换脚本生成的第一转换标识，则生成包括所述cookie信息的页面请求消息发送给服务器。 

其中，所述服务器根据所述cookie信息包括的用户标识和所述第一转换标识对所述页面请求消息进行鉴权包括： 

所述服务器在所述页面请求消息中包括cookie信息和第一转换标识时，采用与所述目标网页页面上的转换脚本协商的转换算法对从所述cookie信息提取的用户标识进行转换得到第二转换标识，将第二转换标识与所述第一转换标识进行比较，若两者匹配，则鉴权通过； 

所述服务器在所述页面请求消息中包括cookie信息或者所述第二转换标识与所述第一转换标识不匹配时，则鉴权失败。 

其中，所述客户端在接收到浏览器的页面消息时，获取发起该页面消息的目标网页页面的cookie信息之前，还包括： 

客户端向所述服务器发送连接请求； 

客户端接收所述服务器根据所述连接请求返回的包括用户标识的cookie信息。 

相应地，本发明实施例还提供了另一种用于防止跨站点请求伪造的方法，包括： 

服务器在接收到客户端的关于目标网页页面的页面请求消息时，若所述页面请求消息中包括第一转换标识和所述目标网页页面的cookie信息，从所述cookie信息提取用户标识； 

采用与客户端中设置在所述目标网页页面上的转换脚本协商的转换算法对所述用户标识进行转换，得到第二转换标识； 

若所述第二转换标识与所述第一转换标识匹配，则鉴权成功，响应所述页 面请求消息； 

其中，所述第一转换标识是所述转换脚本根据预置的转换算法对从目标网页页面的cookie信息提取的用户标识进行转换后得到的。 

其中，还包括：若所述页面请求消息中包括cookie信息或者所述第二转换标识与所述第一转换标识不匹配时，则确定鉴权失败。 

其中，所述服务器在接收到客户端的关于目标网页页面的页面请求消息时，若所述页面请求消息中包括第一转换标识和所述目标网页页面的cookie信息，从所述cookie信息提取用户标识之前，还包括： 

服务器接收所述客户端发送的关于所述目标网页页面的连接请求；