[发明专利]一种跨站请求伪造CSRF防御认证方法和装置有效
| 申请号: | 201710043677.7 | 申请日: | 2017-01-19 |
| 公开(公告)号: | CN106790238B | 公开(公告)日: | 2020-07-10 |
| 发明(设计)人: | 潘钧康;樊恒阳 | 申请(专利权)人: | 北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京同达信恒知识产权代理有限公司 11291 | 代理人: | 黄志华 |
| 地址: | 100089 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种跨站请求伪造CSRF防御认证方法和装置,所述方法,包括:获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。采用本发明提供的方法,不仅能够有效地实现对CSRF攻击的防护,还具备防篡改的效果,在一定程度上能够防护重放攻击,通用性较强。 | ||
| 搜索关键词: | 一种 请求 伪造 csrf 防御 认证 方法 装置 | ||
【主权项】:
一种跨站请求伪造CSRF防御认证方法,其特征在于,包括:获取本次数据交互所需的安全口令,所述安全口令是通过向服务器发送的登录请求获得的,所述登录请求包含本次登录所需的用户名和密码;向服务器发送数据交互请求,所述数据交互请求中携带有本次数据交互所需的验证信息,所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证,其中,所述验证信息是根据所述安全口令确定出的。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司,未经北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710043677.7/,转载请声明来源钻瓜专利网。
