Закрепление API подвергаются в расширении хромированной

Question

Текущее состояние:

Я работаю над расширением хромом. Мое расширение отправляет запрос на мой веб-сервер и показывает результаты.

Недостатки:

1. Я обнажая свои интерфейсы API, так что любая третья сторона, не обязательно, владелец удлинителя может сделать несколько запросов на моем сервере. Это позволит ему получить доступ ко всем моим данным.
2. Это также может привести к краху моего сервера, если запросы выполняются очень часто с помощью ботов.

Итак, есть ли способ, который может разрешить запросы, сделанные на соответствующие серверные дескрипторы, только через расширение chrome. Можно ли установить некоторые файлы cookie и проверить их перед отправкой результатов?

Спасибо!

Answer 1

Нет, вы не можете гарантировать, что только ваши расширения Chrome выполняют запросы. Как только ваш код покинет ваш контроль (т. Е. Клиент имеет его), нет никакой гарантии, что он не будет изменен или реконструирован. Однако вы можете сделать это, прежде чем обращаться к вашему API.

Аутентификация, вы не проверяете, что пользователь использует расширение Chrome, но у вас есть кто-то в черный список, если ваш сервер становится объектом большого трафика. Вы можете заставить пользователя расширения chrome создать учетную запись один раз, а затем расширение может отправлять эти учетные данные на ваш сервер с каждым запросом.

У вас может возникнуть соблазн попробовать что-то вроде вложения секретного токена или кодовой фразы, но это остановит только ленивых нападавших. Кроме того, это может дать вам ложное чувство безопасности. Идите с проверкой подлинности, если вас беспокоит атак типа «отказ в обслуживании».