无法理解 axios 请求的安全性

Posted 2023-02-16

【中文标题】无法理解 axios 请求的安全性

【英文标题】：Fail to understand the saftey of axios requests

【发布时间】：2022-01-16 21:37:48

【问题描述】：

我目前无法理解 Axios 请求背后的安全性。示例 我有一个简单的按钮，可以通过发布请求使用随机字符串注册用户。 然后将此发布请求发送到我的快速服务器，然后将该用户添加到我的 MongoDB。 是什么阻止了某人仅打开诸如 https://reqbin.com/ 之类的第三方 API 工具并使用此发布请求创建垃圾邮件用户。

另一个例子 我有一个聊天，每次您发送消息时，都会通过 axios post 请求将插入请求发送到我的快递服务器。同样，是什么阻止了某人使用某些第三方 API 工具来发送垃圾请求以创建大量消息？

【问题讨论】：

没什么。这与 Axios 无关，这只是在公共互联网上托管 Web 服务器的含义。您希望任何人都能够成为用户，并希望接受来自任何客户端的请求。区分好邮件和垃圾邮件很难，而且没有灵丹妙药。 （虽然对于您的聊天，您可能需要登录 - 这仍然存在任何人都可以注册的问题）

【参考方案1】：

您可以实现CSRF protection、captcha verification、rate users' request limit，如果用户在短时间内向您发送了太多请求（可能是机器人），甚至可以通过防火墙自动阻止用户的 IP。即使这样，您也不应该在验证和清理之前信任任何数据。

最终，您只能依靠后端策略、例程和数据来确保一切安全和运行。