我有一个应用登陆页面。访客输入他们的电话号码,我发送一个链接到他们的手机。
我使用jQuery(Ajax)将该数字传递给我的API。现在任何人都可以看到该URL。因此,任何人都可以获取该URL并发送许多请求。我该如何保护它?
我已经实施了CSRF Token。现在我用PHP做这件事。生成令牌并将其存储在session上。
但也有一个问题。如果有人加载了目标网页,他们会获得token,之后他们就可以使用该令牌发送请求。我用Postman测试了这个。
我可以在一次请求后清除CSRF令牌。但我不想这样做。因为他们可能需要将此链接发送给其他号码。
现在我要做的是,制作该网址private,至少很难找到,只有我的网站发出的请求才能被接受而不是来自其他工具。
请帮忙!
答案 0 :(得分:1)
你想要保护自己的是蛮力攻击。防止这种情况的最常见和最快捷的方法是使用CAPTCHA。您可以使用Google Recaptcha。
此外,应用服务器应始终验证请求数据,确保您使用POST方法并清理数据以防止SQL注入或黑客攻击。