[发明专利]CSRF攻击防范方法、网站服务器及浏览器

权利要求书

1.一种CSRF攻击防范方法，其特征在于，包括：

网站服务器接收到浏览器的页面请求后，生成第一令牌，并保存所述第一令牌；

向浏览器返回加入所述第一令牌的页面；

接收浏览器提交的响应请求，并读取所述响应请求中的第二令牌；

如果所述第一令牌和所述第二令牌一致，则所述响应请求验证通过。

2.如权利要求1所述的CSRF攻击防范方法，其特征在于，所述第一令牌为随机字符串。

3.一种CSRF攻击防范方法，其特征在于，包括：

浏览器接收网站服务器返回的包含第一令牌的页面，所述第一令牌由网站服务器接收到浏览器的页面请求后生成；

根据所述第一令牌得到第二令牌，在页面的每个表单中植入包含所述第二令牌的隐藏域；

将隐藏域的所述第二令牌加入到向网站服务器提交的响应请求中，网站服务器接收到所述响应请求后，比较所述第一令牌和所述第二令牌，如果所述第一令牌和所述第二令牌一致，则所述响应请求验证通过。

4.如权利要求3所述的CSRF攻击防范方法，其特征在于，浏览器基于JavaScript框架修改页面文档对象模型，在文档对象模型的每个表单中植入包含所述第二令牌的隐藏域。

5.如权利要求3或4所述的CSRF攻击防范方法，其特征在于，将隐藏域的所述第二令牌加入到所述响应请求的请求体中，或者将隐藏域的所述第二令牌追加到所述响应请求的查询字符串中。

6.一种网站服务器，其特征在于，包括：

第一令牌生成单元，用于在网站服务器接收到浏览器的页面请求后，生成第一令牌，并保存所述第一令牌；

页面返回单元，用于向浏览器返回加入所述第一令牌的页面；

第二令牌接收单元，用于接收浏览器提交的响应请求，并读取所述响应请求中的第二令牌；

验证单元，用于判断所述第一令牌和所述第二令牌是否一致，如果所述第一令牌和所述第二令牌一致，则所述响应请求验证通过。

7.如权利要求6所述的网站服务器，其特征在于，所述页面返回单元，包括：

令牌加入子单元，用于在根据所述页面请求向浏览器返回的页面中加入所述第一令牌；

返回子单元，用于向浏览器返回所述页面。

8.一种浏览器，其特征在于，包括：

页面接收单元，用于浏览器接收网站服务器返回的包含第一令牌的页面，所述第一令牌由网站服务器接收到浏览器的页面请求后生成；

令牌植入单元，用于根据所述第一令牌得到第二令牌，并在页面的每个表单中植入包含所述第二令牌的隐藏域；

令牌提交单元，用于将隐藏域的所述第二令牌加入到向网站服务器提交的响应请求中。

9.如权利要求8所述的浏览器，其特征在于，所述令牌植入单元基于JavaScript框架修改页面文档对象模型，在文档对象模型的每个表单中植入包含所述第二令牌的隐藏域。

10.如权利要求8或9所述的浏览器，其特征在于，所述令牌提交单元将隐藏域的所述第二令牌加入到所述响应请求的请求体中，或者将隐藏域的所述第二令牌追加到所述响应请求的查询字符串中。