Защита API в jQuery
У меня есть целевая страница приложения. Посетители вводят свой номер телефона, а я отправляю им ссылку.
Я передаю этот номер своему API с помощью jQuery (Ajax). Теперь любой может увидеть этот URL. Таким образом, любой может получить этот URL-адрес и отправить множество запросов. Как я могу его защитить?
Я уже реализовал CSRF Token. Сейчас делаю это с помощью PHP. Создание токена и сохранение его на session.
Но есть еще одна проблема. Если кто-то загружает целевую страницу, он получает этот token и после этого может использовать этот токен для отправки запроса. Я проверил это с помощью Postman.
Я могу очистить этот токен CSRF после одного запроса. Но я не хочу этого делать. Поскольку они могут потребовать отправить эту ссылку на другие номера.
Теперь я хочу сделать этот URL-адрес private, по крайней мере, сделать его трудным для поиска, и должны приниматься только запросы, сделанные с моего веб-сайта, а не из других инструментов.
Пожалуйста помоги!
У токенов CSRF должна быть указана дата истечения срока действия, чтобы избежать такой проблемы.
Ответы 1
Вы пытаетесь защитить себя от атаки методом перебора. Самый распространенный и быстрый способ предотвратить это - использовать CAPTCHA. Вы можете использовать Google Recaptcha.
Кроме того, сервер приложений всегда должен проверять данные запроса, убедиться, что вы используете метод POST, и очищать данные, чтобы предотвратить SQL-инъекции или попытки взлома.
Спасибо! Я реализовал рекапчу, и она у меня работает.
Частный URL, интересно. Дайте мне знать, как это работает для вас.