首頁猿問在瀏覽器選項(xiàng)卡中查詢時(shí)如何保護(hù)...

在瀏覽器選項(xiàng)卡中查詢時(shí)如何保護(hù) GET 請(qǐng)求

Go

MM們 2023-07-26 19:39:47

我目前的任務(wù)是開發(fā)股票市場(chǎng)數(shù)據(jù) API，安全性是重中之重。我能夠使用 JWT、API 密鑰、中間件身份驗(yàn)證來保護(hù)傳入的 GET 請(qǐng)求。假設(shè)當(dāng)用戶未登錄時(shí)，眾所周知，所有 http 方法（尤其是 GET）都會(huì)以 http 狀態(tài) 401 未經(jīng)授權(quán)的訪問進(jìn)行響應(yīng)。我的問題是，當(dāng)用戶登錄我們的應(yīng)用程序時(shí)，現(xiàn)在可以成功查詢 API 請(qǐng)求（服務(wù)器到服務(wù)器），但是當(dāng)我將請(qǐng)求鏈接復(fù)制到瀏覽器新選項(xiàng)卡（例如 chrome）時(shí)，我可以看到回復(fù)。這是預(yù)期的，因?yàn)橛脩粢训卿?，但我希望?qǐng)求響應(yīng)不會(huì)在瀏覽器中看到。我們的其他競(jìng)爭(zhēng)對(duì)手使用 POST 來對(duì)抗瀏覽器默認(rèn)的 GET。我們應(yīng)該轉(zhuǎn)向 POST 嗎？我很掙扎，因?yàn)?GET 是請(qǐng)求內(nèi)容的正確 http 方法。

查看完整描述

2 回答

www說

TA貢獻(xiàn)1775條經(jīng)驗(yàn) 獲得超8個(gè)贊

對(duì)于像股票市場(chǎng)數(shù)據(jù)這樣的私人信息，我的第一選擇是發(fā)布請(qǐng)求。

我曾經(jīng)通過檢測(cè)瀏覽器來阻止來自瀏覽器的 GET API 請(qǐng)求，基于用戶代理字符串和自定義頭元數(shù)據(jù)等內(nèi)容，但根據(jù)經(jīng)驗(yàn)，這不是一個(gè)完美的解決方案。

我過去使用的另一個(gè)技巧是使用簡(jiǎn)單的加密算法（它不安全但速度快。這只是一種干擾）來加密值。因此，如果有人確實(shí)提取了 json 響應(yīng)，則數(shù)據(jù)將是垃圾，除非使用密鑰解密，在您的情況下，密鑰可能是 jwt 令牌。

再說一遍，這些技巧對(duì)高技術(shù)人員的安全沒有任何作用，但足以分散常規(guī)到平均逆向工程技巧的注意力。另外免責(zé)聲明，我從未使用 GET 來獲取任何重要的財(cái)務(wù)和股票相關(guān)信息。我的規(guī)則是 GET 處理普通的填充內(nèi)容，POST 處理重要的內(nèi)容。

反對(duì) 回復(fù) 2023-07-26

一只名叫tom的貓

TA貢獻(xiàn)1906條經(jīng)驗(yàn) 獲得超3個(gè)贊

POST如果您想隱藏瀏覽器窗口中的輸出，最好移至此。與一樣GET，瀏覽器將始終直接顯示輸出。

但請(qǐng)注意，如果有人想查看 API 響應(yīng)，他們?nèi)匀豢梢允褂?JS 模擬 API 調(diào)用并在瀏覽器控制臺(tái)中查看響應(yīng)，或者使用 Postman 等客戶端來獲取響應(yīng)。如果他們有適當(dāng)?shù)牧钆?，他們總是可以檢查你的響應(yīng)，沒有辦法繞過它。

我相信它在新選項(xiàng)卡中也能工作，因?yàn)橛脩粢训卿?，并?JWT 令牌以可從新選項(xiàng)卡訪問的方式存儲(chǔ)在 cookie / localstorage / 中。并且您的服務(wù)器也能夠訪問它。

如果您使用 JS 應(yīng)用程序（可能是 React？）發(fā)送令牌，并調(diào)整您的服務(wù)器每次都通過請(qǐng)求標(biāo)頭接受令牌，在這種情況下，僅打開該 url 將不再有效，因?yàn)樗鼘⒃谄渲衼G失令牌請(qǐng)求標(biāo)頭。

反對(duì) 回復(fù) 2023-07-26