На данный момент мы используем APP_ID
и JS_KEY
, чтобы делать запросы для сервера синтаксического анализа. У нас есть регистрация на нашем сайте и после того, как пользователь проверки электронной почты может создавать группы, отправлять сообщения и т.д.Как защитить запросы от углового (или любого js) приложения (веб-сайта) для анализа сервера?
Это легко, чтобы ограничить вход в правах пользователей с CLP
и ACL
для чтения некоторых данных, но как запретить кому-нибудь напишите сценарий, который будет использовать наши APP_ID
и JS_KEY
(что он мог получить только со вкладки «Сеть» отладчика), а затем логин с действительными учетными данными и переполнение базы данных синтаксиса с некоторыми фиктивными данными? Какие способы предотвращения этого вы знаете?
Поблагодарите ваши идеи.
Спасибо за ваши очки, большинство из них у нас уже есть, но некоторые другие будут проверять! Кстати, может быть, вы знаете какое-то программное обеспечение для работы на синтаксическом сервере, которое могло бы фильтровать запросы по частоте в зависимости от url, IP-адреса пользователя и других параметров? Я думаю, что будет хорошей идеей дополнительно защитить сайт от DDoS. – Ratmir
@ Ratmir есть множество вещей, которые вы можете сделать сверх и выше, чтобы предотвратить атаки и грубую силу и т. Д. Такие вещи, как экспресс-грубые и другие пакеты промежуточного программного обеспечения. На NPM есть несколько пакетов, посвященных этому! – Cliffordwh