如果发件人是未知方?
我有这个计划,我正在开发房间和瓷砖组玩。基本上,除了允许玩家通过Peer.js通过浏览器托管他们的房间之外,我想通过连接到具有Node.js和socket.io-client的房间列表来允许他们托管永久服务器。
然后我认为这些服务器机房应该拥有更多权限,比如创建自己的项目和描述,使其真正可修改。但要做到这一点,他们需要改变默认的tileset。
我想过让他们在某处上传tileset并发送一个下载链接,但我知道这肯定不安全!并将其上传到房间里面是我不想要的东西,因为我想保持房间里面的最小和负载最小。不想处理验证码或滥用身份验证。
所以我认为通过socket.io发送tileset可能会这样做,但只是为了确定我想在这里问这个问题,因为我非常担心我必须确定的风险,而且我找不到太多关于这个问题在任何地方(我猜他们只是假设它来自一个值得信赖的网站。)
那么,我有什么直接的攻击吗?我离安全出口不远,所以我不得不问......