一種基于手機令牌防御CSRF攻擊的方法，包括以下步驟：S1：客戶端注冊包含手機號碼信息的賬號，登陸所述賬號，且客戶端向服務器發送HTTP請求后，服務器獲取客戶端中注冊的手機號碼；S2：所述客戶端隨機生成服務器動態令牌，發送給所述客戶端，服務器同時保存所述服務器動態令牌；S3：所述客戶端收到服務器動態令牌后，編輯手機動態令牌，并將手機動態令牌發送給服務器所專屬的服務器號碼；S4：服務器對比手機動態令牌和服務器動態令牌是否相同；S5：若手機動態令牌和服務器動態令牌不同，則切斷服務器與客戶端之間的聯系；若手機動態令牌和服務器動態令牌相同，則建立服務器與客戶端的聯系。該方法可以有效地避免攻擊者在同一個根域名下不同服務器進行操作。

技術領域

本發明涉及手機的網站訪問安全領域，具體涉及一種基于手機令牌防御CSRF攻擊的方法

背景技術

跨站請求偽造(CSRF)攻擊，是指攻擊者利用用戶在一網站下的登錄態信息，向與該一網站屬于相同根域的任意網站發送請求，從而以用戶的名義發送郵件、或修改信息、或購買商品等。

現有技術中，如果用戶成功登錄根域下的一個網站，則認為該用戶在該根域下的任一網站都處于登錄態，因此如果攻擊者冒充該用戶向該根域下的網站發送購買商品、修改用戶資料等請求，則該根域下的網站將根據該請求進行相應的業務處理。

具體來講，由于同一根域名下的不同網站的登錄信息相同，而登錄信息都保存在會話cookie中，因此，攻擊者可以通過在http請求中攜帶用戶已經成功登錄的網站的cookie值，來冒充該用戶，向與該用戶已經成功登錄的網站的一級域名相同的目標網站發送http請求。

現有技術對防御CSRF攻擊進行防護時，常用的方法有，一種是在HTTP Referer中限制請求來源，但是基于用戶隱私保護的考慮，服務器并非任何情況下都能獲取到Referer。

發明內容

為了克服現有技術中的不足，本發明提出一種基于手機令牌防御CSRF攻擊的方法，其具有避免攻擊者利用同一根域名下不用網站，產生不屬于客戶的購買商品等操作的情況，有效地保證客戶網絡信息的安全性。

為了實現上述目的，本發明的一種基于手機令牌防御CSRF攻擊的方法，包括以下步驟：步驟S1：客戶端注冊包含手機號碼信息的賬號，登陸賬號，且客戶端向服務器發送HTTP請求后，服務器獲取客戶端中注冊的手機號碼；步驟S2：客戶端隨機生成服務器動態令牌，以短信的方式發送給客戶端，服務器同時保存服務器動態令牌；步驟S3：客戶端收到服務器動態令牌后，編輯手機動態令牌，并將手機動態令牌發送給服務器所專屬的服務器號碼；步驟S4：服務器通過調用服務器號碼，獲取服務器號碼中的手機動態令牌、手機號碼，再根據手機號碼，獲取手機號碼對應的服務器動態令牌，服務器對比手機動態令牌和服務器動態令牌是否相同；步驟S5：若手機動態令牌和服務器動態令牌不同，則切斷服務器與客戶端之間的聯系，避免攻擊者通過服務器網站，對客戶端的客戶造成仿冒、攻擊的影響；若手機動態令牌和服務器動態令牌相同，則建立服務器與客戶端的聯系，客戶端能正常訪問服務器。

進一步的，服務器動態密碼由數字、字母或者符號中的其中一種或者多種組合組成。

進一步的，服務器動態密碼至少為4位字符。

進一步的，步驟S3中，編輯手機動態令牌的時間為三分鐘，編輯手機動態令牌的時間從服務器發送服務器動態令牌后開始計算，若編輯手機動態令牌的時間超過三分鐘，則服務器刪除步驟S2中保存的服務器動態令牌，并切斷服務器與客戶端之間的聯系。

進一步的，服務器為同一個根域名下的多個網站。

進一步的，步驟S3中，客戶端通過短信的方式將手機動態令牌發送給服務器號碼，或者客戶端通過手機app的方式將手機動態令牌發送給服務器號碼。