使用fiddler我可以截取ajax post请求,并且使用请求编写器我可以重新发送相同的请求,导致服务器正常响应它。如果协议是http或https(fiddler解密HTTPS流量)无关紧要,使用像Fiddler这样的工具就可以了。
在Web应用程序方面,是否可以理解或阻止此类请求?怎么样?
答案 0 :(得分:7)
没有。没有办法阻止这一点。 URL是要访问的。如果不应该访问它,请不要将其联机或需要某种身份验证方法。某些客户端可能会传递可以限制的可识别的User-Agent标头,Fiddler可能也会这样做。但是,像Fiddler这样的工具的全部意义在于能够进行任何类型的自定义请求,其中包括此User-Agent字符串。因此,即使您阻止默认的User-Agent,也没有什么能阻止Fiddler的用户将User-Agent更改为不会被阻止的内容。