我的网络应用程序正在使用第三方工具来存储敏感数据,该工具能够通过回调网址发送事件(即,当某些内容发生变化时,它会向给定的网址发出请求)。为了防止恶意请求,第三方工具建议检查请求的IP地址以确保它来自他们的服务器,但这似乎很容易被欺骗。
问题:
答案 0 :(得分:1)
如果第三方应用程序是通过互联网进行的,那么您的检查将受到3 way handshake cannot take place if the IP address is spoofed的IP欺骗保护。 (打折大量攻击,例如IP hijacking。)
如果第三方应用程序位于本地网络中的另一台服务器上,则该网络上的其他用户可以将其本地IP设置为应用程序的本地IP以进行欺骗。
总结:
是否可以利用仅通过IP地址对客户端进行身份验证的Web应用程序?
否 - 如果该应用是基于互联网的,the risk of IP spoofing is very low。