如何解决“推荐拒绝”实施
| 我一直在寻找一种保护Web服务免于“综合查询”的方法。阅读此安全堆栈问题以获取更多详细信息。 似乎我别无选择,直到我浏览了NSE India的网站,该网站针对此类综合查询实施了某种措施。 我想知道他们如何实施这种保护措施:您访问他们的网站并搜索报价,比如说RELIANCE,我们将获得一个显示最新报价的页面。 经过分析,我们发现正在发送的查询类似于: http://www.nseindia.com/marketinfo/equities/ajaxGetQuote.jsp?symbol=RELIANCE&series=EQ
解决方法
它不会帮助您。伪造引荐来源是微不足道的。防止攻击者构造的查询的唯一保护措施是服务器端验证。
有时,有时可以使用引荐来源网址来防止与其他网站的热链接,但是由于某些程序会创建虚假的引荐来源,并且您不想阻止这些用户,因此即使这样做也相当困难。
引荐来源网址验证的问题可能会对其他试图操纵用户浏览器访问您网站的网站有所帮助。像某些跨站点的伪造请求。但是,它永远也无法抵御恶意用户。与之相对的唯一有用的是服务器端验证。如果您不信任该客户端的用户,则永远无法信任该客户端。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
