[发明专利]用于防止跨站攻击的方法和系统

权利要求书

1.一种用于防止跨站攻击的方法，包括：

将网页存储在网站上，该网页被组织成不接受输入的入口网页和不是入口网页的保护的网页；

从用户应用接收请求以接收所请求的网页，该请求包括指示引用网页的引用字符串以及标识数据；

确定所请求的网页是入口网页还是保护的网页；

如果所请求的网页被确定为保护的网页，则基于所述标识数据确定所述用户应用是否被授权，以及基于所述引用字符串确定所述引用网页是否存储在网站上；

如果所述用户应用被确定为被授权并且如果所述引用网页被确定存储在网站上，则将所请求的网页传送到所述用户应用；以及

如果所述用户应用被确定为未被授权或者如果所述引用网页被确定没有存储在网站上，则将该请求重新定向到所述入口网页之一。

2.如权利要求1所述的方法，还包括：

如果所请求的网页被确定为入口网页或者该请求被重新定向到入口网页，则从请求中去除输入数据，由此产生剥离的请求；以及

基于所述剥离的请求将所述入口网页之一传送到所述用户应用。

3.如权利要求1所述的方法，还包括：

在网站授权所述用户应用。

4.如权利要求3所述的方法，其中，所述授权所述用户应用还包括认证所述用户应用。

5.如权利要求4所述的方法，其中，使用秘密密钥、使用会话统一资源定位符(″URL″)、使用超文本传输协议(″HTTP″)认证、或用户应用端的安全套接字协议层(″SSL″)授权所述用户应用。

6.如权利要求3所述的方法，还包括：

基于授权所述用户应用，将所述标识数据从网站传送到所述用户应用。

7.如权利要求1所述的方法，其中，所述标识数据是cookie。

8.如权利要求1所述的方法，还包括在所述网站将所述网页组织成入口网页和保护的网页。

9.如权利要求1所述的方法，其中，所述请求在网关被接收。

10.如权利要求1所述的方法，其中，所述保护的网页还包括应用、小服务程序或脚本。

11.如权利要求1所述的方法，还包括使用用户应用反向导航控制在保护的网页之间进行导航。

12.如权利要求1所述的方法，其中，所述用户应用是网络浏览器应用。

13.如权利要求1所述的方法，其中，所述用户应用在用户设备上执行。

14.如权利要求1所述的方法，其中，所述引用字符串是超文本传输协议(″HTTP″)引用字符串。

15.如权利要求1所述的方法，其中，所述引用字符串存储引用网页的统一资源定位符(″URL″)。

16.如权利要求1所述的方法，其中，至少一个入口网页是登录页、主页或入口扉页。

17.如权利要求1所述的方法，其中，所述保护的网页是在线银行交易页、在线银行菜单页、在线银行认证页、在线拍卖搜索结果页、在线拍卖登录页、在线拍卖认证页、在线拍卖投标入口页、在线拍卖投标验证页、在线零售商搜索结果页、在线零售商购物推车页、在线零售商登录页、在线零售商信用卡地址验证页、在线零售商确认页、网络邮件认证页、网络菜单页、网络邮件发送页、网络邮件搜索页、网络邮件读取页、搜索引擎搜索结果页、入口认证页或入口菜单页。

18.如权利要求1所述的方法，其中，所述标识数据指示用户被授权但是未被认证。