10.19678/j.issn.1000-3428.0048368
基于随机化参数名的跨站请求伪造防御方法
传统基于客户端的防御方法存在用户体验与兼容性差的问题,容易产生误报和漏报现象,不能有效地防御跨站请求伪造(CSRF)攻击.为此,提出一种对请求参数名随机化的防御方法.通过对网站的统一资源定位器地址中的参数名称,如Form表单中的参数名进行可逆加密,确保在一次会话交互过程中的所有请求的参数名都被随机化,防止攻击者获取参数名信息实施CSRF攻击.基于该方法设计并实现了开源PHP库,并部署在开源的PHP程序上.实验结果证明,与基于Token方法相比,该方法能够更有效地防御CSRF攻击.
Web安全、跨站请求伪造攻击、基于多样性安全、参数名、随机化
44
TP393(计算技术、计算机技术)
国家自然科学基金61373168
2019-01-22(万方平台首次上网日期,不代表论文的发表时间)
共7页
158-164