首頁猿問借助瀏覽器調(diào)試工具可以任意發(fā)送...

借助瀏覽器調(diào)試工具可以任意發(fā)送 Ajax 請求向服務(wù)器瘋狂寫入數(shù)據(jù), 是否視為漏洞?

JavaScript

肥皂起泡泡 2019-04-07 09:38:42

在想跨域API方面的問題,比如HTML以靜態(tài)文件方式存儲,僅僅通過API和服務(wù)器交換數(shù)據(jù).如果還是放在另一個域名上,那么本地就可以通過綁定/etc/hosts來跑本地代碼..進一步,就算不是跨域,本地直接從調(diào)試工具大范圍修改JS,只要知道API,也容易跑的..而且比如循環(huán)插入大量數(shù)據(jù)這種事情...算不算個漏洞?

查看完整描述

2 回答

慕俠2389804

TA貢獻1719條經(jīng)驗獲得超6個贊

樓主所說的其實是個偽命題。瀏覽器的請求操作都可以通過程序后臺來模擬，而且也沒有瀏覽器的安全限制。所以相對瀏覽器，樓主更加應(yīng)該擔憂這個。之所以說是個偽命題就是：如果真的要單機DOS，靠瀏覽器是不靠譜的。ajax請求多了在服務(wù)器還沒掛之前，瀏覽器自己已經(jīng)扛不住了（CPU、內(nèi)存等）。樓主不妨自己動手試試，讓瀏覽器在20秒內(nèi)完成10萬個請求，并保證每個請求正確處理。

反對回復(fù) 2019-04-07

藍山帝景

TA貢獻1843條經(jīng)驗獲得超7個贊

可以參考discuz的表單里，有個串是用來防止重復(fù)提交的。比如你在服務(wù)器端生成一個時間相關(guān)的串，比如這樣以php為例：$time=time();$code=$time.'_'.md5($time.'yourSalt');這個code返給表單，ajax提交是一起提交上來，第一步就檢查這個code是否合法，不合法自然拋棄這個請求。收到請求時：$code=$_GET['code'];list($time,$encode)=explode('_',$code);if($encode!=md5($time.'yourSalt')){echo'非法請求';exit();}