• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Zabezpieczenie przed spamem w REST API / JWT

Aruba Cloud - Virtual Private Server VPS
0 głosów
367 wizyt
pytanie zadane 28 stycznia 2020 w JavaScript przez mreo Użytkownik (790 p.)
uzytkownik mający token może wysyłać requesty do api w node.js nawet bez wchodzenia na strone, co daje łatwą możliwość botowania w mojej hobbystycznej grze mmorpg, można wysłać POST'em do 15 url w mniej niz sekunde rozne dane co jest zbyt łatwe, dodatkowo niektóre requesty przeciążają server i są wykonywane za pomocą skryptu u klienta rzadko, natomiast za pomocą linku użytkownik posiadający token może wykonać ich dowolną ilość.

w jaki sposob to mozna ograniczyć lub jakie zabezpieczenia powinno się stosować?
komentarz 29 stycznia 2020 przez NowyUrzydgownig Mądrala (5,090 p.)
Musisz zabezpieczyć swój backend. Ustawić w web serwerze ograniczenie tylko na ip frontendowe. Również ustaw ograniczenie na ilość wykonywanych requestów. Nie piszę w node.js, więc niczego ci nie polecę z gotowych rozwiązań, ale możesz poszukać pod terminem request throttling albo stworzyć sobie middleware i z pomocą jti oraz cache'u, stworzyć własne zabezpieczenie.

1 odpowiedź

+2 głosów
odpowiedź 29 stycznia 2020 przez Comandeer Guru (606,590 p.)
wybrane 30 stycznia 2020 przez mreo
 
Najlepsza
Można np. wprowadzić tokeny anti-XSRF, które byłyby różne dla każdego żądania. Tym sposobem nie dałoby się preparować nadmiernej liczby żądań i w gruncie rzeczy wymuszałoby używanie UI, które założyłeś.

Dodatkowo po prostu filtruj żądania po userze/IP. Jak user wysyła za dużo żądań w krótkim czasie i tokeny anti-XSRF się nie zgadzają, blokuj konto i odrzucaj żądania.

Podobne pytania

0 głosów
0 odpowiedzi 646 wizyt
pytanie zadane 7 września 2021 w JavaScript przez rszczepanski02 Obywatel (1,180 p.)
0 głosów
2 odpowiedzi 308 wizyt
pytanie zadane 2 listopada 2020 w JavaScript przez poldeeek Mądrala (5,980 p.)
+1 głos
1 odpowiedź 192 wizyt
pytanie zadane 20 lipca 2020 w JavaScript przez rob Bywalec (2,440 p.)

93,332 zapytań

142,325 odpowiedzi

322,402 komentarzy

62,669 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 1 Wprowadzenie do ITsec, tom 2

Można już zamawiać dwa tomy książek o ITsec pt. "Wprowadzenie do bezpieczeństwa IT" - mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy aż 15% zniżki! Dziękujemy ekipie Sekuraka za fajny rabat dla naszej Społeczności!

...