我有一个应用程序,python充当一个简单的Web服务器(我正在使用瓶子框架)和一个HTML + JS客户端。整件事在当地运行。在这种情况下,网页充当GUI。
在我的代码中,我实现了一个文件浏览器界面,因此我可以从JavaScript访问本地文件结构。
服务器只接受本地连接,但困扰我的是:如果有人知道我在本地运行我的应用程序,并伪造一个带有AJAX请求的站点到localhost?我以某种方式访问他的网站,攻击者可以看到我的本地文件吗?
我的主要问题是:有什么办法可以保证这个吗?我的意思是我的服务器肯定知道请求来自我当地提供的文件?
答案 0 :(得分:1)
防止此攻击的最直接方法是每个请求都需要一个很长的复杂密钥。在处理请求之前,只需让本地代码进行身份验证即可。这实质上就是互联网上的Web服务受到保护的方式。
您可能还需要考虑以其他形式(如DBUS或unix套接字)进行进程间通信。我不确定您使用的是哪种操作系统,但是有很多选项可以使进程间通信不会以这种方式使您受到攻击。