基于MD5的CSRF防御模块的设计与实现

摘要

自20世纪90年代互联网向公众开放,使用互联网的人数激增,不论是生活、工作还是学习都与互联网密不可分.很多互联网服务与应用都是以Web形式提供给用户,所以Web应用程序的安全成为重中之重.其中跨站请求伪造(cross-site request forgery,CSRF)由于容易被忽略而被称为"沉睡的巨人",其安全隐患较高.针对CSRF攻击模式,研究设计了一种基于MD5消息摘要算法的随机化参数名的CSRF防御模块,该模块主要利用Java过滤器Filter实现,通过为统一资源定位符号(URL)中的参数名称以及Form表单中的参数名称等添加由MD5消息摘要算法生成的随机参数,增加攻击者进行请求伪造的难度,而达到CSRF防御的目的,从而保障用户的安全.测试实验结果表明该方法效果较好,能有效防御CSRF攻击;增加该防御模块对Web服务器的性能影响较小并且在可接受范围内.