• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Zabezpieczenie przed spamem w REST API / JWT

VPS Starter Arubacloud
0 głosów
331 wizyt
pytanie zadane 28 stycznia 2020 w JavaScript przez mreo Użytkownik (790 p.)
uzytkownik mający token może wysyłać requesty do api w node.js nawet bez wchodzenia na strone, co daje łatwą możliwość botowania w mojej hobbystycznej grze mmorpg, można wysłać POST'em do 15 url w mniej niz sekunde rozne dane co jest zbyt łatwe, dodatkowo niektóre requesty przeciążają server i są wykonywane za pomocą skryptu u klienta rzadko, natomiast za pomocą linku użytkownik posiadający token może wykonać ich dowolną ilość.

w jaki sposob to mozna ograniczyć lub jakie zabezpieczenia powinno się stosować?
komentarz 29 stycznia 2020 przez NowyUrzydgownig Mądrala (5,090 p.)
Musisz zabezpieczyć swój backend. Ustawić w web serwerze ograniczenie tylko na ip frontendowe. Również ustaw ograniczenie na ilość wykonywanych requestów. Nie piszę w node.js, więc niczego ci nie polecę z gotowych rozwiązań, ale możesz poszukać pod terminem request throttling albo stworzyć sobie middleware i z pomocą jti oraz cache'u, stworzyć własne zabezpieczenie.

1 odpowiedź

+2 głosów
odpowiedź 29 stycznia 2020 przez Comandeer Guru (599,730 p.)
wybrane 30 stycznia 2020 przez mreo
 
Najlepsza
Można np. wprowadzić tokeny anti-XSRF, które byłyby różne dla każdego żądania. Tym sposobem nie dałoby się preparować nadmiernej liczby żądań i w gruncie rzeczy wymuszałoby używanie UI, które założyłeś.

Dodatkowo po prostu filtruj żądania po userze/IP. Jak user wysyła za dużo żądań w krótkim czasie i tokeny anti-XSRF się nie zgadzają, blokuj konto i odrzucaj żądania.

Podobne pytania

0 głosów
0 odpowiedzi 395 wizyt
pytanie zadane 7 września 2021 w JavaScript przez rszczepanski02 Obywatel (1,180 p.)
0 głosów
2 odpowiedzi 222 wizyt
pytanie zadane 2 listopada 2020 w JavaScript przez poldeeek Mądrala (5,980 p.)
+1 głos
1 odpowiedź 144 wizyt
pytanie zadane 20 lipca 2020 w JavaScript przez rob Bywalec (2,440 p.)

92,453 zapytań

141,262 odpowiedzi

319,088 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...