Pet*_*ris 6 security ajax http ring
我想使用post来更新数据库并且不希望人们手动执行它,也就是说,它应该只能通过客户端中的AJAX来实现.在这种情况下是否有一些众所周知的加密技巧?
假设我发出一个GET请求,将新用户插入我的数据库中site.com/adduser/<userid>.有人可能通过发出虚假请求来过多填充我的数据库.
site.com/adduser/<userid>
lan*_*nzz 6
在这种情况下,没有办法避免伪造请求,因为客户端浏览器已经拥有了发出请求所需的一切; 对于恶意用户来说,只需要进行一些调试就可以弄清楚如何向后端发出任意请求,甚至可能使用自己的代码来简化它.你不需要"加密技巧",你只需要混淆,这只会使锻造有点不方便,但仍然不是不可能的.
归档时间:
13 年,5 月 前
查看次数:
4876 次
最近记录:
12 年,5 月 前