我有一个应用程序登录页面。访客输入他们的电话号码,然后我发送链接到他们的电话。
我使用jQuery(Ajax)将该数字传递给我的API。现在任何人都可以看到该URL。因此,任何人都可以获取该URL并发送许多请求。我该如何保护它?
我已经实施了CSRF Token。现在,我正在使用PHP。生成一个令牌并将其存储在上session。
但是,这也是一个问题。如果有人加载了登录页面,他们将获得该登录页面,token然后他们可以使用该令牌发送请求。我已经用邮递员对此进行了测试。
我可以在一个请求后清除该CSRF令牌。但是我不想那样做。由于他们可能需要将此链接发送给其他号码。
现在,我要做的是,使该URLprivate至少难以查找,并且仅接受从我的网站发出的请求,而不能接受其他工具的请求。
请帮忙!
您要保护自己免受暴力攻击。防止这种情况的最常见,最快捷的方法是使用验证码。您可以使用Google Recaptcha。
此外,应用服务器应始终验证请求数据,确保您使用的是POST方法并清理数据以防止SQL注入或黑客攻击。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句