我有一个Android游戏,将使用数据推送到json格式的烧瓶服务。当请求进来时,我只是将json直接插入我正在保存统计信息的mongo集合中。
这不安全吗?在Flask中,我如何确保帖子请求来自我的游戏,然后才将其插入到mongo集合中?
答案 0 :(得分:1)
我正在做与你在我的项目中描述的相同的事情(我们不做任何验证,顺便说一句)。如果用户不必登录游戏,则没有太多选择。您可以使用CSRF tokens,但此选项不够安全。其他选项是从应用程序服务器而不是客户端生成此“请求”。这将确保数据不会受到损害。