[发明专利]防止跨站请求伪造的方法、装置、客户端、系统及介质

权利要求书

1.一种防止跨站请求伪造的方法，包括：

接收服务端发送的原始token，验证第一网页是否为可信网页；

如果第一页面为可信网页，则存储所述原始token；

当判断需要向所述服务端发送POST请求时，则验证第二网页是否为可信网页；

如果所述第二网页为可信网页，则获取被存储的所述原始token进行预设处理，生成新token值；

向所述服务端发送携带有所述新token值的POST请求，以使所述服务端对所述新token值进行合法性检验。

2.如权利要求1所述的方法，所述接收服务端发送的原始token包括：

向所述服务端发送登录验证信息；其中，所述登录验证信息包括：用户名和密码；

接收所述服务端在对所述登录验证信息认证成功之后返回的所述原始token。

3.如权利要求1所述的方法，所述验证第一网页是否为可信网页包括：

获取顶层页面，作为所述第一网页；

获取所述第一网页的第一URL，基于预设的可信URL列表验证所述第一URL是否为可信URL；

如果所述第一URL为可信URL，则确定所述第一网页为可信网页，如果所述第一URL不为可信URL，则进行提醒处理。

4.如权利要求3所述的方法，所述存储所述原始token包括：

在存储单元中存储所述原始token；其中，所述存储单元包括cookie、localStorage或sessionStorage。

5.如权利要求3所述的方法，所述验证第二网页是否为可信网页包括：

获取顶层页面，作为所述第二网页；

获取所述第二网页的第二URL，基于所述可信URL列表验证所述第二URL是否为可信URL；

如果所述第二URL为可信URL，则确定所述第二网页为可信网页，如果所述第二URL不为可信URL，则进行提醒处理。

6.如权利要求4所述的方法，所述获取被存储的所述原始token进行预设处理，生成新token值包括：

在所述存储单元中读取预先存储的所述原始token；

对所述原始token进行加盐处理，生成所述新token值。

7.如权利要求6所述的方法，所述服务端对所述新token值进行合法性检验包括：

所述服务端对所述新token值进行所述加盐处理的逆操作，获取所述原始token；

所述服务端对所述原始token进行合法性验证；

如果验证成功，则所述服务端返回与所述POST请求相对应的数据；

如果验证失败，则所述服务端返回提示信息。

8.如权利要求6所述的方法，还包括：

当向所述服务端发送GET请求时，在所述GET请求中不添加所述原始token或所述新token值。

9.一种防止跨站请求伪造的装置，包括：

标识接收模块，用于接收服务端发送的原始token；

验证模块，用于验证第一网页是否为可信网页；

存储模块，用于如果第一页面为可信网页，则存储所述原始token；

所述验证模块，还用于当判断需要向所述服务端发送POST请求时，则验证第二网页是否为可信网页；

新值生成模块，用于如果所述第二网页为可信网页，则获取被存储的所述原始token进行预设处理，生成新token值；

请求发送模块，用于向所述服务端发送携带有所述新token值的POST请求，以使所述服务端对所述新token值进行合法性检验。

10.一种防止跨站请求伪造的装置，包括：

存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如权利要求1至8中任一项所述的方法。