我一直在寻找一种方法来保护Web服务免受“综合查询”的影响。有关详细信息,请阅读此security stack问题。
似乎我没有其他选择,直到我遇到NSE India's网站,该网站针对此类综合查询实施了某种措施。
我想知道他们怎么能实现这种方式有效的保护:你去他们的网站搜索引用,比方说,RELIANCE,我们得到一个显示最新报价的页面。
在分析中,我们发现发送的查询类似于:
http://www.nseindia.com/marketinfo/equities/ajaxGetQuote.jsp?symbol=RELIANCE&series=EQ
但是当我们直接在浏览器中复制粘贴查询时,它会返回“推荐被拒绝”。
我想这样的程序也可以帮助我。我有什么想法可以实现类似的东西吗?
答案 0 :(得分:1)
它对你没有帮助。伪造推荐人是微不足道的。对攻击者构造的查询的唯一保护是服务器端验证。
引用者有时可以用来有时防止来自其他网站的热链接,但即使这样做也很难,因为某些程序会创建虚假的引荐来源并且您不想阻止这些用户。
问题引用者验证可以帮助其他网站试图操纵用户浏览器访问您的网站。喜欢某些跨站点请求伪造。但它永远不会防止恶意用户。对那些唯一有帮助的是服务器端验证。如果您不信任该客户的用户,您永远不会信任该客户。