[发明专利]一种数据交互的方法

说明书

本发明公开了一种数据交互的方法，包括客户端发送第一次访问，询问服务端是否可以连接并传输数据，此请求采用OPTIONS方法请求,在得到服务端许可的情况下，客户端将发送第二次请求并传输数据给服务端，此请求可以采用get、post、put等方法，并将数据加密处理，否则此请求不产生，直接被服务端拒绝。该数据交互的方法，相较于现有技术具有可以有效的防止CSRF攻击、程序安全性提高、用户操作简单、程序扩展性提高、可读性提高和程序运行效率有所提升的优点。

技术领域

本发明涉及互联网技术领域，具体为一种数据交互的方法。

背景技术

随着互联网技术的飞速发展，许多基于浏览器内核开发的应用(即webapp，一般可以指基于web网页技术的Application第三方应用)由于其自身开发成本低、无需安装、对各种移动设备以及平台的适配成本低廉等优势已经备受用户和app提供商的青睐。WebApp主要业务展现与交互基本由Web页面承载，Web页面非常灵活，但对一些需要实时运营的业务，现有的WebApp一般采用ajax实现数据交互，即Asynchronous JavaScript And XML,通过在后台与服务器进行少量数据交换，使网页实现异步更新。这意味着可以在不重载整个页面的情况下，对网页的某些部分进行更新。传统的网页(不使用AJAX)如果需要更新内容，必须重载整个页面。

目前常用的数据交互包括ajax交互，但是，这种交互对防止CSRF(CSRF简介，CSRF攻击的全称是跨站请求伪造(cross site request forgery)，是一种对网站的恶意利用，尽管听起来跟XSS跨站攻击有点相似，但事实上CSRF与XSS差别很大，XSS利用的是站点内的信任用户，而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义向第三方网站发送恶意请求。CSRF能做的事情包括利用你的身份发送邮件、发短信、进行交易转账等，甚至盗取你的账号。)有所欠缺。

发明内容

本发明的目的在于提供一种数据交互的方法，以解决上述背景技术提出的无法有效的防止CSRF攻击、程序安全性不高、用户操作麻烦、程序扩展性不高、可读性不高和程序运行效率不高的问题。

为实现上述目的，本发明提供如下技术方案：一种数据交互的方法，包括:

(1)、客户端发送第一次访问，询问服务端是否可以连接并传输数据，此请求采用OPTIONS方法请求,

(2)、在得到服务端许可的情况下，客户端将发送第二次请求并传输数据给服务端，此请求可以采用get、post、put等方法，并将数据加密处理，否则此请求不产生，直接被服务端拒绝。

优选的，所述数据加密在客户端登录系统的过程中，服务端将随机并且唯一的产生一串代码发送给客户端，我们将这串代码命名为token，服务端必须设置token的有效时间，在token的有效时期内，客户端都可以和服务端进行数据交互，若客户端在登录时期，token过期，客户端需要用旧token来换取新的token，以确保客户端与服务端数据交互正常。

优选的，所述客户端发送请求过程中，客户端将服务端发送过来的token存储为全局，方便客户端各处进行调用，客户端在发送每个请求的请求头中都必须将token一起传输给服务端(即，不论客户端发送OPTIONS还是get、post、put等方法)，服务端在接到请求的第一时间将判断token的准确性及有效性，若token的准确性及有效性有一种不通过，服务端将直接拒绝。