本申請提供一種跨站請求偽造攻擊防御方法、裝置、電子設備及存儲介質，涉及信息安全技術領域。其中應用于客戶端的方法包括：基于用戶的請求生成并行會話；基于客戶端存儲的第一令牌組中的令牌數量確定是否需要進行令牌組更新；在需要進行令牌組更新時，獲取第二令牌組，在第二令牌組中確定與并行會話對應的令牌；將包含與并行會話對應的令牌的并行會話發送至服務端，以使服務端在并行會話的令牌通過驗證時，基于并行會話生成業務請求，并基于業務請求從后臺獲取業務請求執行結果；接收服務端返回的業務請求執行結果。該方法通過令牌組更新手段確?？蛻舳诵枰M行會話時有可用令牌，在保障跨站請求偽造攻擊防御的同時增加了業務穩定性。

技術領域

本申請涉及信息安全技術領域，具體而言，涉及一種跨站請求偽造攻擊防御方法、裝置、電子設備及存儲介質。

背景技術

目前，在Web的用戶身份驗證中，簡單的身份驗證只能保證請求發自某個用戶的瀏覽器，卻不能保證請求本身是用戶自愿發出的?？缯菊埱髠卧?Cross-site RequestForgery)也被稱為one-click attack或者session riding，通常縮寫為CSRF或者XSRF，是一種挾制用戶在當前已登錄的Web應用程序上執行非本意的操作的攻擊方法。簡單地說，是攻擊者通過一些技術手段欺騙用戶的瀏覽器去訪問一個自己曾經認證過的網站并運行一些操作(如發郵件，發消息，甚至財產操作如轉賬和購買商品)。由于瀏覽器曾經認證過，所以被訪問的網站會認為是真正的用戶操作而去運行。這利用了web中用戶身份驗證的一個漏洞：簡單的身份驗證只能保證請求發自某個用戶的瀏覽器，卻不能保證請求本身是用戶自愿發出的。

CSRF利用了這個漏洞，由于該瀏覽器已經經過了認證，所以被訪問的網站會忠實的執行上述偽造的操作，為用戶帶來損失。CSRF攻擊已經成為日益嚴重的安全問題。

而現有的CSRF防御方式當后端的任一后臺程序發生阻塞時，由于該后臺程序不能及時響應后端的請求，造成后端不能及時回復前端的請求，進而造成前端不能及時無法獲取有效令牌(token)，這時，前端將不能發出任何請求(包括訪問非阻塞的后臺程序的請求)，造成業務中斷。可見，現有技術穩定性差。

發明內容

有鑒于此，本申請實施例的目的在于提供一種跨站請求偽造攻擊防御方法、裝置、電子設備及存儲介質，以改善現有技術中存在的業務請求穩定性較差的問題。

本申請實施例提供了一種跨站請求偽造攻擊防御方法，應用于客戶端，所述方法包括：基于用戶的請求生成并行會話；基于所述客戶端存儲的第一令牌組中的令牌數量確定是否需要進行令牌組更新；在需要進行令牌組更新時，獲取第二令牌組，在所述第二令牌組中確定與所述并行會話對應的令牌；將包含與所述并行會話對應的令牌的所述并行會話發送至所述服務端，以使所述服務端在所述并行會話的令牌通過驗證時，基于所述并行會話生成業務請求，并基于所述業務請求從后臺獲取業務請求執行結果；接收所述服務端返回的所述業務請求執行結果。

在上述實現方式中，客戶端基于第一令牌組的數量確定后續會話請求是否能夠獲取令牌順利發送，并且在令牌不足時獲取第二令牌組保證后續會話請求的正常發送，同時，令牌更新以令牌組為單位，提高了令牌更新的效率，更可靠地保證了業務執行的穩定性。

可選地，所述基于所述客戶端存儲的第一令牌組中的令牌數量確定是否需要進行令牌組更新，包括：在所述第一令牌組中的令牌數量大于預設數量時，確定不需要進行令牌組更新；在所述第一令牌組中的令牌數量小于或等于所述預設數量時，確定需要進行令牌組更新。

在上述實現方式中，通過設置令牌組中令牌的預設數量作為令牌更新的基準線，由于預設數量可以根據具體情況進行調整，提高了其令牌更新的靈活性，并且不一定要在令牌剛好完全耗盡時再進行令牌更新，進一步提高了業務執行的穩定性。