[发明专利]一种用于网络防护的动态cookie验证方法及装置

权利要求书

1.一种用于网络防护的动态cookie验证方法，其特征在于，包括以下步骤：

S1、客户端发送http请求至服务器；所述http请求中包括请求cookie和请求URL；

S2、使用预设的cookie库对所述请求cookie的cookie信息进行解密及验证；所述cookie信息包括cookie名、cookie值；

若验证成功，则将所述http请求定向至所述请求URL所对应的欲访问页面，并将所述欲访问页面作为返回信息；

若验证失败，则将所述http请求定向至一默认页面，并将所述默认页面作为返回信息；

S3、使用加密算法对所述http请求中的特征字段进行加密生成校验cookie值，并随机生成一校验cookie名，将所述校验cookie值和校验cookie名存入所述cookie库；

S4、将所述校验cookie值、校验cookie名和cookie处理模块插入所述返回信息中，所述服务器将所述返回信息发送至所述客户端；所述cookie处理模块用于在所述客户端接收所述返回信息后，使用预设的行为判断规则判断所述客户端的行为是否安全；

S5、在判定所述客户端的行为是安全后，通过加密算法对所述校验cookie值进行加密，得到请求cookie值，并将所述请求cookie值和所述校验cookie名组成新的所述请求cookie，所述新的请求cookie用于插入至所述客户端下一次发出的http请求。

2.根据权利要求1所述的用于网络防护的动态cookie验证方法，其特征在于，所述步骤S1还包括：

使用预设的URL库对所述请求URL进行匹配；

若匹配成功，则进入步骤S2；

若匹配失败，则将所述http请求发送至所述服务器进行正常访问。

3.根据权利要求2所述的用于网络防护的动态cookie验证方法，其特征在于，所述步骤S2包括：

S21、将所述请求cookie的cookie名与所述cookie库中的所述校验cookie名进行匹配；

若匹配成功，则进入步骤S22；

若匹配失败，则将所述http请求定向至所述默认页面，并将所述默认页面作为返回信息，进入步骤S3；

S22、将所述请求cookie的cookie值使用解密算法进行解密得到解密cookie值，将所述解密cookie值与所述cookie库中的所述校验cookie值进行匹配，

若匹配成功，则将所述cookie库中的所述校验cookie值对应的剩余验证次数减一，进入步骤S23；

若匹配失败，则将所述http请求定向至所述默认页面，并将所述默认页面作为返回信息，进入步骤S3；

S23、查询所述cookie库中的所述校验cookie值的所述剩余验证次数；

若所述剩余验证次数大于或等于零，则将所述http请求定向至所述欲访问页面，将所述欲访问页面作为返回信息，进入步骤S3；

若所述剩余验证次数小于零，则从所述cookie库中删去所述校验cookie值和校验cookie名，并将所述http请求定向至所述默认页面，将所述默认页面作为返回信息，进入步骤S3。

4.根据权利要求3所述的用于网络防护的动态cookie验证方法，其特征在于，所述步骤S3中，所述特征字段为所述请求URL，在生成所述校验cookie值后，还包括：

为所述校验cookie值设置所述剩余验证次数，将所述剩余验证次数保存至所述cookie库中。

5.根据权利要求1所述的用于网络防护的动态cookie验证方法，其特征在于，所述步骤S5中，所述客户端的行为包括人机交互设备的输入内容、控制内容、响应频率、响应次数中的一种或多种；所述预设的行为判断规则为：

当所述客户端的行为大于预定的行为阈值时，判定为所述客户端行为为安全；

所述行为阈值包括输入内容长度阈值、控制内容长度阈值、响应频率阈值或响应次数阈值中的一种或多种。