ajax炸弹的安全性

| 我从ajax调用了一些servlet,以检查用户的可用性和其他工作。仅当用户登录时才能发送ajax请求。 但是问题是,用户可以使用javascript注入在一秒钟内通过ajax调用批量访问服务器。它可以使服务器停机。 有一种控制它的可能性。 如果来自同一IP的匹配数 秒(或某个时期)越过 最大限制,我可以使之无效 会议。 但是我的一些同事不赞成限制用户。还有其他方法可以保护我的服务器免受ajax炸弹的伤害。     
2020-02-14 3 条评论
分享

没有找到相关结果

    已邀请:

    搜洼挂时

            您有几种选择: 您可以限制ajax请求,使其达到极限时(如某些网站一样)稍微放慢速度。 对X请求之后的ajax请求进行速率限制(完全阻止),就像Twitter对其API所做的那样 选择另一个选项,例如WebSockets。 这些可以是服务器端的,也可以是客户端的,服务器端是安全性的明显选择。   但是问题是,用户可以使用javascript注入在一秒钟内通过ajax调用批量访问服务器。它可以使服务器停机。 如果您担心服务器保持运行状态,那么Javascript注入是您最少的问题。原始HTTP DDoS攻击比几个Ajax请求要大得多。 Javascript注入应该牢记在心的主要是安全性,而不是服务器正常运行时间。     
    2020-02-14 0 0
    分享

    闯舱酮

            我开发的某些网络应用程序也有同样的问题, 我想出的解决方案是检查服务器端的引荐来源网址, 并且仅允许来自服务器的呼叫(127.0.0.1)。     
    2020-02-14 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.042458057403564