无法理解 axios 请求的安全性

Posted

技术标签:

【中文标题】无法理解 axios 请求的安全性【英文标题】:Fail to understand the saftey of axios requests 【发布时间】:2022-01-16 21:37:48 【问题描述】:

我目前无法理解 Axios 请求背后的安全性。示例 我有一个简单的按钮,可以通过发布请求使用随机字符串注册用户。 然后将此发布请求发送到我的快速服务器,然后将该用户添加到我的 MongoDB。 是什么阻止了某人仅打开诸如 https://reqbin.com/ 之类的第三方 API 工具并使用此发布请求创建垃圾邮件用户。

另一个例子 我有一个聊天,每次您发送消息时,都会通过 axios post 请求将插入请求发送到我的快递服务器。同样,是什么阻止了某人使用某些第三方 API 工具来发送垃圾请求以创建大量消息?

【问题讨论】:

没什么。这与 Axios 无关,这只是在公共互联网上托管 Web 服务器的含义。您希望任何人都能够成为用户,并希望接受来自任何客户端的请求。区分好邮件和垃圾邮件很难,而且没有灵丹妙药。 (虽然对于您的聊天,您可能需要登录 - 这仍然存在任何人都可以注册的问题) 【参考方案1】:

您可以实现CSRF protection、captcha verification、rate users' request limit,如果用户在短时间内向您发送了太多请求(可能是机器人),甚至可以通过防火墙自动阻止用户的 IP。即使这样,您也不应该在验证和清理之前信任任何数据。

最终,您只能依靠后端策略、例程和数据来确保一切安全和运行。

【讨论】:

以上是关于无法理解 axios 请求的安全性的主要内容,如果未能解决你的问题,请参考以下文章

Reactjs Axios / Spring Boot 安全性

axios 的理解和使用 axios.create(对axios请求进行二次封装) 拦截器 取消请求(axios.CancelToken)

axios中怎么传数组

AXIOS POST 请求未发送,功能停止工作

具有强类型 Axios 请求的 Vue3

如何执行两个 Axios GET 请求,映射结果然后将其推送到数组?