[发明专利]一种Web安全防护方法及系统

权利要求书

1.一种Web安全防护方法，基于家庭网关，其特征在于，包括：

在家庭网关中预先设置一个匹配表，其包括表单名称和表单对应的合法数据模式；

Web服务器在浏览器请求读取的家庭网关的表单中增加一个随机会话id，再发给浏览器；

用户修改浏览器的表单，Web客户端在修改后表单的数据中增加CRC码，再发给Web服务器；

Web服务器收到修改后表单，依次检查随机会话id和CRC码，再检查所述表单的数据在所述匹配表中是否存在合法数据模式，若所述表单有一项检查不通过，则丢弃所述表单。

2.如权利要求1所述的Web安全防护方法，其特征在于：若所述表单的随机会话id和CRC码的检查通过，且所述表单的数据在所述匹配表中存在合法数据模式，则所述表单的数据合法，Web服务器采用新的随机会话id替换原有随机会话id，供浏览器回读。

3.如权利要求1所述的Web安全防护方法，其特征在于，所述Web服务器在浏览器请求读取的家庭网关的表单中增加一个随机会话id，包括：

家庭网关进行参数配置时，浏览器向Web服务器发送读取表单的请求，Web服务器自动生成一个随机会话id，加入被读取表单的数据中，并将所述随机会话id存储在内存中。

4.如权利要求3所述的Web安全防护方法，其特征在于，所述Web服务器检查随机会话id包括：

检查内存中是否存在所述表单携带的随机会话id，若是，继续检查CRC码；若否，丢弃所述表单。

5.如权利要求1所述的Web安全防护方法，其特征在于，所述Web客户端在修改后表单的数据中增加CRC码，包括：浏览器的表单被修改后，将所述修改后表单的数据进行CRC编码，将得到的CRC码附加在修改后表单的数据中。

6.如权利要求5所述的Web安全防护方法，其特征在于，所述Web服务器收到浏览器提交的表单，检查CRC码包括：

对收到表单的数据再次进行CRC编码，判断得到的CRC码与浏览器提交的表单中CRC码是否一致，若是，CRC码的检查通过，查询所述匹配表；若否，丢弃所述表单；

其中，Web服务器再次进行CRC编码的数据，不包括Web客户端增加的CRC码。

7.如权利要求1或5所述的Web安全防护方法，其特征在于：所述Web客户端从Web服务器获取代码混淆后的CRC编码规则，并通过所述CRC编码规则生成CRC码，加入修改后表单的数据中。

8.如权利要求1所述的Web安全防护方法，其特征在于：家庭网关中每增加一个表单，匹配表中对应增加一条匹配检查的记录。

9.一种Web安全防护系统，包括Web客户端和Web服务器，其特征在于，还包括匹配表，用于存储表单名称和表单对应的合法数据模式；

所述Web客户端包括：

第一CRC编码模块，其用于根据修改后表单的数据进行CRC编码，生成CRC码附加在所述表单的数据中，并发送给所述Web服务器；

所述Web服务器包括：

随机会话id生成模块，其用于生成随机会话id并加入浏览器读取的表单数据中；

第二CRC编码模块，其用于对Web服务器收到表单的数据再次进行CRC编码并生成CRC码；其中，再次进行CRC编码的数据，不包括第一CRC编码模块增加的CRC码；

判断模块，其用于判断随机会话id是否正确，还用于判断两次生成的CRC码是否相同，以及用于判断表单的数据在所述匹配表中是否存在合法数据模式；

处理模块，其用于当判断模块中任何一项判断没有通过时，丢弃所述表单；还用于当判断模块中所有判断均通过时，将所述表单传给后续模块处理。

10.如权利要求9所述的Web安全防护系统，其特征在于：所述Web客户端由Web服务器获取到代码混淆后的CRC编码规则，第一CRC编码模块用于根据代码混淆后的CRC编码规则生成CRC码；第二CRC编码模块采用未混淆的CRC编码规则生成CRC码。