【发布时间】:2021-08-26 08:36:55
【问题描述】:
我有 OTP 验证功能,前端(React JS)正在向后端(rails)发送请求,根据响应,我在前端将移动验证设置为真或假。
成功响应:
HTTP/1.1 200 OK
{"success":true}
无法处理的实体响应:
HTTP/1.1 422 Unprocessable Entity
{"success":false}
当用户获得无法处理的实体时,用户正在使用 Burp Suite 更改响应并将修改后的响应发送到前端
HTTP/1.1 200 OK
{"success":true}
前端具有设置仅在收到响应时验证移动设备的逻辑。
考虑在响应中添加 OTP 并在前端验证它,但用户也可以存根。
我怎样才能避免这种情况?
【问题讨论】:
-
在客户端设置手机验证有什么不同?
-
@GaborLengyel 用户在没有互动的情况下使用其他手机号码
标签: ruby-on-rails reactjs security one-time-password