本申請實施例提供一種網站訪問的防護方法及裝置，應用在互聯網技術領域，包括：接收終端設備發送針對目標數據記錄的操作請求，操作請求中攜帶目標隨機標識；若用戶會話中包括目標隨機標識，則從用戶會話中獲取目標隨機標識對應的功能模塊名和原始標識；若目標隨機標識對應的功能模塊名與操作請求的請求地址匹配，則基于目標隨機標識對應的原始標識，對目標數據記錄進行操作，獲得操作結果，并返回至終端設備。本申請通過隨機標識代替原始標識來標記數據記錄，并通過驗證隨機標識是否存在，隨機標識對應的功能模塊名與操作請求的請求地址的匹配結果，來判斷發起操作請求的用戶是否為合法用戶，有效阻止非法用戶惡意篡改報文的攻擊方式。

技術領域

本發明實施例涉及互聯網技術領域，尤其涉及一種網站訪問的防護方法及裝置。

背景技術

隨著互聯網技術的快速發展，基于瀏覽器和服務器架構(Browser/Server，簡稱為B/S)的WEB系統應用越來越廣泛，這種架構下將系統功能實現的核心部分集中到服務器上，簡化了系統的開發、維護，同時為用戶的使用帶來了便捷。WEB系統在給用戶使用帶來便捷的同時，也給系統安全帶來了一些列的挑戰，比如，如何有效保護用戶信息安全，識別并阻止非法用戶的跨站訪問和越權訪問已經成為網站開發人員面臨的最大挑戰。

相關技術下，系統后臺對用戶每次請求的http報文頭中的Referer信息進行校驗，只有Referer信息與當前網站一致才視為一個合法的用戶訪問。

然而，上述方案僅對常規用戶頁面操作防控有效，對于用戶惡意篡改報文等攻擊方式效果非常有限，即安全性較差。

發明內容

本申請實施例提供了一種網站訪問的防護方法及裝置，用于識別并阻止非法用戶的跨站訪問和越權訪問。

第一方面，本申請實施例提供了一種網站訪問的防護方法，應用于服務器，包括：

接收所述終端設備發送的針對目標數據記錄的操作請求，所述操作請求中攜帶目標隨機標識；

若用戶會話中包括所述目標隨機標識，則從所述用戶會話中獲取所述目標隨機標識對應的功能模塊名和原始標識，所述用戶會話用于保存具備操作權限的至少一條數據記錄的原始標識、隨機標識和功能模塊名；

若所述目標隨機標識對應的功能模塊名與所述操作請求的請求地址匹配，則基于所述目標隨機標識對應的原始標識，對所述目標數據記錄進行操作，獲得操作結果；

向所述終端設備返回所述操作結果。

本申請通過隨機標識代替操作請求中的原始標識來標記數據記錄，并通過驗證隨機標識是否存在，再根據隨機標識對應的功能模塊名與操作請求的請求地址的匹配結果，來判斷發起操作請求的用戶是否為合法用戶，有效阻止非法用戶惡意篡改報文的攻擊方式。

可選地，若所述用戶會話中不包括所述目標隨機標識，則向所述終端設備返回拒絕操作的應答消息。

由于目標隨機標識是由大小字母和數字組成的64位長度的隨機數，則目標隨機標識的可能性有62的64次方種，有效阻止惡意用戶在短時間內破解，有效阻止惡意網站的跨站訪問和惡意用戶的水平越權訪問。

可選地，若所述目標隨機標識對應的功能模塊名與所述操作請求的請求地址不匹配，則向所述終端設備返回拒絕操作的應答消息。

通過將目標隨機標識對應的功能模塊名和操作請求的請求地址進行匹配，對目標隨機標識進行二次驗證，從而防止惡意用戶通過目標隨機標識去撞庫訪問其他功能的某條記錄，防止惡意用戶使用某個隨機標識去操作其他功能模塊的記錄。

可選地，所述接收所述終端設備發送的針對目標數據記錄的操作請求之前，還包括：

接收所述終端設備發送的記錄查詢請求；