【问题标题】:Fail to understand the saftey of axios requests无法理解 axios 请求的安全性
【发布时间】:2022-01-16 21:37:48
【问题描述】:

我目前无法理解 Axios 请求背后的安全性。

示例
我有一个简单的按钮,可以通过发布请求使用随机字符串注册用户。
然后将此发布请求发送到我的快速服务器,然后将该用户添加到我的 MongoDB。
是什么阻止了某人仅打开诸如 https://reqbin.com/ 之类的第三方 API 工具并使用此发布请求创建垃圾邮件用户。

另一个例子
我有一个聊天,每次您发送消息时,都会通过 axios post 请求将插入请求发送到我的快递服务器。同样,是什么阻止了某人使用某些第三方 API 工具来发送垃圾请求以创建大量消息?

【问题讨论】:

  • 没什么。这与 Axios 无关,这只是在公共互联网上托管 Web 服务器的含义。您希望任何人都能够成为用户,并希望接受来自任何客户端的请求。区分好邮件和垃圾邮件很难,而且没有灵丹妙药。 (虽然对于您的聊天,您可能需要登录 - 这仍然存在任何人都可以注册的问题)

标签: javascript reactjs mongodb express axios


【解决方案1】:

您可以实现CSRF protectioncaptcha verificationrate users' request limit,如果用户在短时间内向您发送了太多请求(可能是机器人),甚至可以通过防火墙自动阻止用户的 IP。即使这样,您也不应该在验证和清理之前信任任何数据。

最终,您只能依靠后端策略、例程和数据来确保一切安全和运行。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2021-12-10
    • 2020-06-13
    • 2020-05-06
    • 2019-11-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多