对于Web应用程序,我正在寻找只允许Web应用程序与我的服务器通信的通信方式。 由于事物的URL可以从JavaScript代码中提取,因此可以直接使用URL来对登录数据进行暴力攻击,或者查询特定用户是否已经在系统中注册,只提供一些示例。 / p>
我觉得加密数据客户端并解密它们服务器端是行不通的,因为客户端的任何加密(无论多么复杂)都会再次通过JavaScript代码暴露给攻击者。对于每个表单授权,可以发送一个丢弃授权密钥。但是这样的密钥将再次被攻击者获取和使用,那么安全性获得了什么呢?
所以这是实际的问题:如何仅授权我的应用程序与服务器通信并拒绝直接呼叫?
脚注:我有SSL,因此传输加密无关紧要。但这无助于打击暴力攻击。
答案 0 :(得分:0)
一种解决方案可以是端点身份验证。您可以在TLS / SSL中使用相互身份验证。您也可以使用PSK变体来实现这一目标。