无法理解 axios 请求的安全性
Posted
技术标签:
【中文标题】无法理解 axios 请求的安全性【英文标题】:Fail to understand the saftey of axios requests 【发布时间】:2022-01-16 21:37:48 【问题描述】:我目前无法理解 Axios 请求背后的安全性。示例 我有一个简单的按钮,可以通过发布请求使用随机字符串注册用户。 然后将此发布请求发送到我的快速服务器,然后将该用户添加到我的 MongoDB。 是什么阻止了某人仅打开诸如 https://reqbin.com/ 之类的第三方 API 工具并使用此发布请求创建垃圾邮件用户。
另一个例子 我有一个聊天,每次您发送消息时,都会通过 axios post 请求将插入请求发送到我的快递服务器。同样,是什么阻止了某人使用某些第三方 API 工具来发送垃圾请求以创建大量消息?
【问题讨论】:
没什么。这与 Axios 无关,这只是在公共互联网上托管 Web 服务器的含义。您希望任何人都能够成为用户,并希望接受来自任何客户端的请求。区分好邮件和垃圾邮件很难,而且没有灵丹妙药。 (虽然对于您的聊天,您可能需要登录 - 这仍然存在任何人都可以注册的问题) 【参考方案1】:您可以实现CSRF protection、captcha verification、rate users' request limit,如果用户在短时间内向您发送了太多请求(可能是机器人),甚至可以通过防火墙自动阻止用户的 IP。即使这样,您也不应该在验证和清理之前信任任何数据。
最终,您只能依靠后端策略、例程和数据来确保一切安全和运行。
【讨论】:
以上是关于无法理解 axios 请求的安全性的主要内容,如果未能解决你的问题,请参考以下文章
Reactjs Axios / Spring Boot 安全性
axios 的理解和使用 axios.create(对axios请求进行二次封装) 拦截器 取消请求(axios.CancelToken)