[发明专利]用于跨站点伪造保护的方法和系统

权利要求书

1.一种防范表单伪造的方法，所述方法包括：

（a）由在部署于多个客户机和一个或多个服务器之间的中间装置上执行的应用防火墙识别对客户机的第一请求的响应是第一表单；

（b）由所述应用防火墙为所述第一表单产生表单标识符，该表单标识符在经由所述中间装置传输的表单标识符中是唯一的且不可预测的；

（c）由所述应用防火墙向客户机传输包含嵌入在所述第一表单中的所述表单标识符的响应；

（d）由所述应用防火墙接收来自客户机的、用于向服务器发送关于所述第一表单的表单数据的第二请求；以及

（e）由所述应用防火墙根据所述第二请求是否标识与所述响应一起传输的所述表单标识符来确定是否向所述服务器发送所述第二请求。

2.根据权利要求1所述的方法，其中步骤（a）还包括：由所述中间装置接收包含所述第一表单和第二表单的响应，所述第一表单和所述第二表单的每一个包含应用层表单。

3.根据权利要求2所述的方法，其中步骤（b）还包括：为所述第一表单和所述第二表单的每一个产生至少一个表单标识符，该至少一个表单标识符的每一个在嵌入到由所述中间装置传输的响应中的表单标识符中是唯一的且不可预测的。

4.根据权利要求1所述的方法，其中步骤（c）还包括：由所述应用防火墙将所述表单标识符嵌入到所述第一表单中的隐藏字段中。

5.根据权利要求1所述的方法，其中步骤（c）还包括：由所述应用防火墙将所述表单标识符嵌入到所述第一表单的属性值中。

6.根据权利要求1所述的方法，其中步骤（d）还包括：由所述应用防火墙接收向所述服务器的包含所述第一表单的POST请求的第二请求。

7.根据权利要求1所述的方法，其中步骤（d）还包括：由所述应用防火墙接收包含GET请求的第二请求，其中，所述GET请求具有关于所述第一表单的表单数据。

8.根据权利要求1所述的方法，其中步骤（e）还包括：由所述应用防火墙确定所述第二请求不具有任何表单标识符，并且响应于该确定，不向所述服务器发送所述第二请求。

9.根据权利要求1所述的方法，其中步骤（e）还包括：由所述应用防火墙确定所述第二请求的表单标识符不匹配所述响应的表单标识符，并且响应于该确定，不向所述服务器发送所述第二请求。

10.根据权利要求1所述的方法，其中步骤（e）还包括：由所述应用防火墙确定所述第二请求的表单标识符匹配所述响应的表单标识符，并且响应于该确定，向所述服务器发送所述第二请求。

11.根据权利要求1所述的方法，还包括：

由所述应用防火墙接收来自于所述客户机或第二客户机的其中一个的第三请求，该第三请求发送关于所述应用防火墙还没有为其产生表单标识符的表单的表单数据，以及

不向所述服务器发送该第三请求。

12.一种防范表单伪造的系统，所述系统包括：

应用防火墙，其在部署于多个客户机和一个或多个服务器之间的中间装置上执行，所述应用防火墙包括：

在所述中间装置上执行的应用防火墙的表单验证引擎，其识别对客户机的第一请求的响应具有第一表单；

所述应用防火墙的标识符产生器，其为所述第一表单产生表单标识符，该表单标识符在经由所述中间装置传输的表单标识符中是唯一的且不可预测的；

其中，所述表单验证引擎向客户机传输包含嵌入在所述第一表单中的所述表单标识符的响应、接收来自客户机的、用于向所述服务器发送关于所述第一表单的表单数据的第二请求，以及根据该第二请求是否标识与所述响应一起传输的所述表单标识符来确定是否向所述服务器发送该第二请求。

13.根据权利要求12所述的系统，其中所述表单验证引擎接收包含所述第一表单和第二表单的响应，所述第一表单和所述第二表单的每一个包含应用层表单。

14.根据权利要求13所述的系统，其中所述标识符产生器为所述第一表单和所述第二表单的每一个产生至少一个表单标识符，该至少一个表单标识符的每一个在由所述中间装置传输的响应中嵌入的表单标识符中是唯一的且不可预测的。

15.根据权利要求12所述的系统，其中所述表单验证引擎将所述表单标识符嵌入到所述第一表单中的隐藏字段中。