[发明专利]一种隐藏表单防护方法、装置、服务器和网购平台

说明书

技术领域

本申请涉及计算机领域，更具体地说，涉及一种隐藏表单那防护方法、装置、服务器和网络平台。

背景技术

现在的互联网站点包含了更丰富的内容，跟用户之间交互的数据也更复杂，一些包含复杂参数的请求和响应都会包含许多表单数据，从而提供更多的参数传递以支持丰富的WEB应用。有些场景比如网络购物、网上银行等站点，可能使用隐藏表单来描述页面中相关事物的数据，比如某件商品的价格、转账金额的大小等，这些数据会通过用户的业务操作而改变，然后传递到服务器从而进行最终的业务流程确认。

因为隐藏表单是用户不可见的页面内容，普通用户不会关心这些内容，但有着丰富网络安全知识的攻击者则有可能利用表单漏洞进行攻击进而非法获利。如果一个攻击者截获了发往服务器的请求报文，并且在修改了某条隐藏表单中的数值，如果服务器对数据的验证存在漏洞，则可能将被篡改的非法表单数据当作正常的参数进行处理，从而导致业务上的损失，攻击者则利用篡改隐藏表单获取非法利益。

发明内容

有鉴于此，本申请提供一种隐藏表单的防护方法、装置、服务器和网购平台，以避免不法分子对隐藏表单进行修改。

为了实现上述目的，现提出的方案如下：

一种隐藏表单的防护方法，包括：

获取客户端的特征信息和隐藏表单的原始值；

根据所述特征信息和所述隐藏表单的原始值知生成相对应的第一HASH值；

利用所述第一HASH值替换所述隐藏表单的原始值，并发送至客户端；

接收客户端的反馈信息，判断所述反馈信息是否包含HASH值，若是，则将所述HASH值作为第二HASH值与所述第一HASH值进行比较；

若所述第二HASH值与所述第一HASH值相同，则响应客户端的访问请求。

优选的，所述判断所述反馈信息是否包含HASH值，之后还包括：

若否，则拒绝所述客户端的访问请求。

优选的，所述将所述HASH值作为第二HASH值与所述第一HASH值进行比较，之后还包括：

若所述第二HASH值与所述第一HASH值不相同，则拒绝客户端的访问请求。

优选的，所述获取客户端的特征信息，包括：获取客户端的IP信息。

一种隐藏表单的防护装置，包括：

信息采集单元，用于获取客户端的特征信息和隐藏表单的原始值；

HASH值生成单元，用于根据所述特征信息和所述隐藏表单的原始值知生成相对应的第一HASH值；

替换单元，用于利用所述第一HASH值替换所述隐藏表单的原始值，并发送至客户端；

判断单元，用于接收客户端的反馈信息，判断所述反馈信息是否包含HASH值；

比较单元，用于当所述反馈信息中包含HASH值时，则将所述HASH值作为第二HASH值与所述第一HASH值进行比较；

响应单元，若所述第二HASH值与所述第一HASH值相同，则响应客户端的访问请求。

优选的，所述响应单元还用于当所述反馈信息中不包含HASH值时，拒绝所述客户端的访问请求。

优选的，所述响应单元还用于当所述第二HASH值与所述第一HASH值不相同，拒绝客户端的访问请求。

优选的，所述特征信息包括客户端的IP信息。

一种服务器，包括以上内容所述的装置。

一种网购平台，包括以上内容所述的服务器。

经由上述技术方案可知，本申请公开一种隐藏表单防护方法、装置、服务器和网购平台。通过HASH算法将网站的隐藏表单的原始值基于访问者的特征进行HASH加密，利用HASH值无规律、不可预知、单向生成、无法破解的特点，防止不法分子对隐藏表单的原始值进行修改。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1示出了本发明一种隐藏表单防护方法的一个实施例的流程示意图；

图2示出了本发明一种隐藏表单防护装置的一个实施例的流程示意图。

具体实施方式

网络购物、网上银行等站点，可能使用隐藏表单来描述页面中相关事物的数据，比如某件商品的价格、转账金额的大小等，这些数据会通过用户的业务操作而改变，然后传递到服务器从而进行最终的业务流程确认。