是否可以伪造请求的域来自?

Posted

技术标签:

【中文标题】是否可以伪造请求的域来自?【英文标题】:Is it possible to fake the domain of the request came from? 【发布时间】:2022-01-08 23:48:03 【问题描述】:

允许限制其对某些域的 API 使用的网站 - 因此他们将只接收和尊重来自这些域的请求。

他们如何检查发件人域?可以伪造吗?

【问题讨论】:

【参考方案1】:

另一种方法是在服务器上支持 TLS 相互身份验证,在这种情况下,客户端必须通过提供由相互信任的证书颁发机构颁发给它的适当 TLS 客户端证书来验证自己。

【讨论】:

【参考方案2】:

他们可以通过验证附加到发件人 HTTPS 请求的发件人域 PubKey 证书来检查发件人域,该证书应由 CA 签名以证明发件人域。这应该基于基于 SSL 的加密网络数据流量。

【讨论】:

以上是关于是否可以伪造请求的域来自?的主要内容,如果未能解决你的问题,请参考以下文章

可以将 https 请求标头伪造为安全威胁吗?

AWS SES PHP SDK 请求需要来自经过验证的域?

CSRF(跨站请求伪造)

跨站请求伪造

跨站请求伪造

跨站请求伪造