基于WEB应用程序技术的CSRF攻击与防御技术

摘要

在最近几年内随着 HTML5技术和Ajax技术的广泛运用，Web应用给用户的生活带来了巨大的改变和便利，但是由于Web应用的安全威胁的存在，例如CSRF攻击，给用户财产和隐私带了巨大的威胁。因此本文对CSRF攻击以及HTML5和Ajax技术进行研究分析。
　　对HTML5及Ajax技术，本文首先从它们的发展历程出发，进行研究分析，找出它们如今使用功能的新的特性。但是在面对安全威胁时，如Dos攻击，SQL注入，XSS攻击以及CSRF攻击时，HTML5和Ajax技术中的一些新特性会给这些攻击带来便利，通过研究这些攻击形式给出了避免遭遇攻击的保护措施。
　　对于CSRF攻击的研究，本文首先将其与XSS攻击联系起来对其进行一个大体上的描述，从而提出它的攻击原理，并通过对攻击原理的分析，给出了CSRF攻击不可避免的根本原因。本文结合 HTML5和Ajax技术对 Web应用下的安全策略进行研究讨论，主要是对同源策略，Cookie策略以及跨源请求共享进行分析。
　　因此本文通过HTML5和Ajax技术搭建了一个Web应用，并采取了安全策略及普遍的防御手段。然后通过对这个Web应用的研究从而进行 CSRF攻击测试，分别从无安全、有安全保护以及安全策略的攻击三个方面进行攻击测试。并通过攻击测试的分析及研究提出了新的CSRF攻击防御手段，主要是通过form表单验证和Ajax请求验证这两个方式来对Web应用安全进行保护。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1引言

1.2研究背景

1.3论文的主要工作

1.4论文的结构安排

第二章 Web应用技术相关概念及安全威胁

2.1 HTML5相关概念

2.2 Ajax相关概念

2.3 Web应用的安全威胁

2.4本章小结

第三章 Web应用下CSRF攻击分析研究

3.1 CSRF攻击基本介绍

3.2 CSRF漏洞原因分析

3.3本章小结

第四章 Web应用程序下CSRF攻击实现及分析

4.1 Web应用下的CSRF攻击

4.2安全策略下CSRF攻击

4.3 Web应用漏洞分析

4.4本章小结

第五章 Web应用中CSRF攻击防御措施

5.1 CSRF攻击的防御手段

5.2 CSRF攻击的防御总结

5.3本章小结

第六章 总结与展望

6.1总结

6.2展望

参考文献

致谢

攻读硕士学位期间已发表或录用的论文

上海交通大学硕士学位论文答辩决议书