随着新的HTTP报告标头的开发和完善,似乎比以往任何时候都更重要的是能够分辨/验证报告的来源。
例如,某人试图“入侵”该网站,可以很容易地用错误的报告淹没报告端点,从而淹没了他们所试图进行的活动的详细信息。它也是DDOS攻击的媒介。
除了混淆之外,是否还有其他机制可以做到这一点?
用户代理是否签署了他们的报告?
任何建议将不胜感激!
我快速浏览了Report-To标头的标准草案,但似乎没有涉及。
对应用程序级缓解的一种思考:记录所有已连接并经过身份验证的客户端的IP,并仅接受以这种方式列入白名单的IP的报告。假设浏览器直接从客户端计算机发送报告(我相信是这种情况,但是任何人都可以确认吗?)。