如何解决防止欺骗攻击 - 如何确保我的客户端收到来自真实服务器的订单?
我正在开发与网站集成的 Chrome 扩展程序。我的用户可以在登录该网站后在该网站上执行操作。
我有一个 Socket.IO 服务器,可以向我的 Chrome 扩展程序发送命令。一旦命令到达,扩展程序就会从主机网站调用本地函数。然后,拥有经过身份验证的活动会话及其自己的 API 的主机网站将调用一些更新/插入调用。
我最近意识到一个潜在的安全问题,那就是 - 如果有人在我的扩展客户端组织中欺骗我的服务器地址,他可以很容易地滥用它来代表我的服务器 (image 2) 发送他自己的参数。
有什么聪明的方法可以确保我的客户端与真实服务器通信而不是冒名顶替者?
解决方法
使用 HTTPS 安全连接。
这是 HTTPS (SSL/TLS) 的特性之一——它可以防止 MITM 攻击并防止目标服务器被冒充。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
