公开(公告)号：CN105100084A

公开(公告)日：2015-11-25

申请号：CN201510394384.4

申请日：2015-07-07

Applicant: 中国科学院计算技术研究所

Inventor： 高云鹏 ,  孙毓忠

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1441 ,  H04L63/0236 ,  H04L67/02

Abstract: 本发明适用于网络安全技术领域，提供了一种防止跨站请求伪造攻击的方法及系统，该方法包括：客户端在接收到浏览器的页面消息时，生成HTTP请求；客户端根据从服务端获取的策略文件对HTTP请求中的cookie信息进行过滤处理；客户端将过滤处理后的HTTP请求发送至服务端。在本发明中，由于策略文件由服务端提供，服务端准确定义其希望收到来自哪些页面的请求，客户端根据策略文件对HTTP请求进行真伪判断，确保了不被策略文件允许的请求不会携带用户的cookie，服务端不希望接受的请求不会被客户端发出，保证了客户端的网络安全。

公开(公告)号：CN105100084B

公开(公告)日：2018-03-30

申请号：CN201510394384.4

申请日：2015-07-07

Applicant: 中国科学院计算技术研究所

Inventor： 高云鹏 ,  孙毓忠

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明适用于网络安全技术领域，提供了一种防止跨站请求伪造攻击的方法及系统，该方法包括：客户端在接收到浏览器的页面消息时，生成HTTP请求；客户端根据从服务端获取的策略文件对HTTP请求中的cookie信息进行过滤处理；客户端将过滤处理后的HTTP请求发送至服务端。在本发明中，由于策略文件由服务端提供，服务端准确定义其希望收到来自哪些页面的请求，客户端根据策略文件对HTTP请求进行真伪判断，确保了不被策略文件允许的请求不会携带用户的cookie，服务端不希望接受的请求不会被客户端发出，保证了客户端的网络安全。