您可以修改传出 HTTP 请求的正文吗?

【问题标题】:Can you modify the body of an outgoing HTTP request?您可以修改传出 HTTP 请求的正文吗?
【发布时间】:2021-07-26 05:19:54
【问题描述】:

我正在开发一个与 Stripe 集成的网络应用程序。我有一个前端,它计算我通过 HTTP 发送到正文中的中间件服务的总价格。我担心一个安全漏洞,有人可以拦截我向中间件发出的 HTTP 请求的正文,并将总价格更改为较低的金额。这将导致他们为产品支付更少的费用。我一直在玩 Postman,但我似乎只能拦截请求以查看正在传递的数据,而不是能够编辑它。这还有可能吗?如果是这样,我该如何防范? 谢谢

【问题讨论】:

  • 这就是为什么你应该使用 HTTPS 来避免这种中间人攻击。客户端应该在与它交换任何敏感数据之前验证它实际上正在与正确的中间件通信。加密将防止修改

标签: http security postman middleware


【解决方案1】:

防止这种情况的主要方法是根本不让客户通过价格。

客户端只需要告诉服务器客户端想要购买哪些产品。服务器使用产品列表和数量来计算总价格。

回答你的主要问题:

假设用户可以完全控制每个 HTTP 请求,包括 headers、body、url 和 method。您不能信任其中的任何信息,一切都可以更改。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2018-01-14
    • 2019-02-19
    • 2011-03-17
    • 2014-08-01
    • 1970-01-01
    • 2015-03-03
    • 1970-01-01
    • 2013-12-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode