我的nodejs应用程序(nodejs + mongodb)中有一个简单的/post
请求。
但是,我真的很害怕ddos攻击,或者只是一次简单的攻击,只需在我的应用中快速单击Postman中的send request
按钮,这可能会导致应用性能下降甚至崩溃。
可以使用cors
策略吗?我可以以某种方式告诉应用程序仅接受直接来自我的域的这些帖子吗?
我做了类似的事情:
app.use((req, res, next) => {
res.header('Access-Control-Allow-Origin', 'https://example.com');
res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
next();
});
但是它仍然接受邮递员的每条/ post。期待任何提示。谢谢。
答案 0 :(得分:2)
CORS是针对浏览器的指令,该指令指示浏览器阻止未经授权的域向您的API发出请求。服务器绝不会强制执行CORS,因此邮递员等应用程序无需遵守CORS指令。话虽如此,CORS也与速率限制无关。
我想,如果想使DOS更加困难,您可能需要一个速率限制器库(例如__table_args__
)。另外,您应该在应用程序中删除您的“提交”按钮(这只是一个好习惯)