来自浏览器控制台的循环javascript攻击?

时间:2013-02-13 07:19:04

标签: javascript ajax console

我正在开发类似Facemash的评级系统。最近我决定从简单的投票链接(href=vote.php?v=leftrightid的{​​{3}} $_SESSION)切换到AJAX。然后我意识到这是极其难以理解的。在浏览器控制台中,作弊者可以调用无限循环来检查图片网址,如果它与某个指定的网址匹配,则为其投票,如果不匹配,则仅投票leftright。除了显然没有实施ajax投票之外,还有什么方法可以阻止这种情况吗?也许有一些命令可以在控制台或其他东西中打破循环?

1 个答案:

答案 0 :(得分:5)

这只是一般原则的一个具体示例:您无法信任从客户端发送到服务器的任何内容。您必须在服务器端实施检查以限制(或仅限制),验证等,因为人们可以向您发送他们喜欢的任何信息(他们甚至不必使用Web浏览器来执行此操作)。

在这种情况下,如果你让人们对事情进行投票,你必须限制一个人对特定项目投票的次数(并且可能限制他们投票的频率,期限)。