[发明专利]一种基于手机令牌防御CSRF攻击的方法

说明书

一种基于手机令牌防御CSRF攻击的方法，包括以下步骤：S1：客户端注册包含手机号码信息的账号，登陆所述账号，且客户端向服务器发送HTTP请求后，服务器获取客户端中注册的手机号码；S2：所述客户端随机生成服务器动态令牌，发送给所述客户端，服务器同时保存所述服务器动态令牌；S3：所述客户端收到服务器动态令牌后，编辑手机动态令牌，并将手机动态令牌发送给服务器所专属的服务器号码；S4：服务器对比手机动态令牌和服务器动态令牌是否相同；S5：若手机动态令牌和服务器动态令牌不同，则切断服务器与客户端之间的联系；若手机动态令牌和服务器动态令牌相同，则建立服务器与客户端的联系。该方法可以有效地避免攻击者在同一个根域名下不同服务器进行操作。

技术领域

本发明涉及手机的网站访问安全领域，具体涉及一种基于手机令牌防御CSRF攻击的方法

背景技术

跨站请求伪造(CSRF)攻击，是指攻击者利用用户在一网站下的登录态信息，向与该一网站属于相同根域的任意网站发送请求，从而以用户的名义发送邮件、或修改信息、或购买商品等。

现有技术中，如果用户成功登录根域下的一个网站，则认为该用户在该根域下的任一网站都处于登录态，因此如果攻击者冒充该用户向该根域下的网站发送购买商品、修改用户资料等请求，则该根域下的网站将根据该请求进行相应的业务处理。

具体来讲，由于同一根域名下的不同网站的登录信息相同，而登录信息都保存在会话cookie中，因此，攻击者可以通过在http请求中携带用户已经成功登录的网站的cookie值，来冒充该用户，向与该用户已经成功登录的网站的一级域名相同的目标网站发送http请求。

现有技术对防御CSRF攻击进行防护时，常用的方法有，一种是在HTTP Referer中限制请求来源，但是基于用户隐私保护的考虑，服务器并非任何情况下都能获取到Referer。

发明内容

为了克服现有技术中的不足，本发明提出一种基于手机令牌防御CSRF攻击的方法，其具有避免攻击者利用同一根域名下不用网站，产生不属于客户的购买商品等操作的情况，有效地保证客户网络信息的安全性。

为了实现上述目的，本发明的一种基于手机令牌防御CSRF攻击的方法，包括以下步骤：步骤S1：客户端注册包含手机号码信息的账号，登陆账号，且客户端向服务器发送HTTP请求后，服务器获取客户端中注册的手机号码；步骤S2：客户端随机生成服务器动态令牌，以短信的方式发送给客户端，服务器同时保存服务器动态令牌；步骤S3：客户端收到服务器动态令牌后，编辑手机动态令牌，并将手机动态令牌发送给服务器所专属的服务器号码；步骤S4：服务器通过调用服务器号码，获取服务器号码中的手机动态令牌、手机号码，再根据手机号码，获取手机号码对应的服务器动态令牌，服务器对比手机动态令牌和服务器动态令牌是否相同；步骤S5：若手机动态令牌和服务器动态令牌不同，则切断服务器与客户端之间的联系，避免攻击者通过服务器网站，对客户端的客户造成仿冒、攻击的影响；若手机动态令牌和服务器动态令牌相同，则建立服务器与客户端的联系，客户端能正常访问服务器。

进一步的，服务器动态密码由数字、字母或者符号中的其中一种或者多种组合组成。

进一步的，服务器动态密码至少为4位字符。

进一步的，步骤S3中，编辑手机动态令牌的时间为三分钟，编辑手机动态令牌的时间从服务器发送服务器动态令牌后开始计算，若编辑手机动态令牌的时间超过三分钟，则服务器删除步骤S2中保存的服务器动态令牌，并切断服务器与客户端之间的联系。

进一步的，服务器为同一个根域名下的多个网站。

进一步的，步骤S3中，客户端通过短信的方式将手机动态令牌发送给服务器号码，或者客户端通过手机app的方式将手机动态令牌发送给服务器号码。