我从ajax调用了一些servlet来检查用户可用性和其他一些工作。只有在用户登录时才能发送ajax请求。
但问题是,用户可以使用javascript注入在一秒钟内通过ajax调用质量次数命中服务器。它可以使服务器关闭。
有一种可能性来控制它;
但我的一些同事并不赞成限制用户。有没有其他方法可以保护我的服务器免受ajax炸弹袭击。
答案 0 :(得分:0)
您有几个选择:
这些可以是服务器端的,也可以是客户端的,服务器端是明显的安全选择。
但问题是,用户可以使用javascript注入在一秒钟内通过ajax调用质量次数命中服务器。它可以使服务器关闭。
如果您担心自己的服务器还活着,那么Javascript注入是您遇到的最少问题。原始HTTP DDoS攻击比一些ajax请求要大得多。 Javascript注入的主要内容应该在您的脑海中,这与安全性有关,而不是服务器正常运行时间。
答案 1 :(得分:0)
我和我开发的一些网络应用程序有同样的问题, 我提出的解决方案是在服务器端检查引用者, 并且只允许来自服务器的呼叫(127.0.0.1)。