0
我正在開發一些內部使用,風險是,因爲我們的工作人員使用相同的IP,因此他們可以發送一個休息請求並將某些東西插入到數據庫中。即使我縮小了我的腳本,他們也可以轉到網絡選項卡並查看請求。防止來自同一IP的cors
如何在這種情況下應用cors?
A
回答
2
你不行。
同源策略可以阻止您不信任的人訪問您信任的人使用訪問者的瀏覽器向您的服務器發送請求並從中竊取數據的網站。
當有第三方網站做信任與數據時,CORS是有選擇性地禁用同源策略。
它們都不能解決您有信任更改數據庫的用戶但只能通過您提供的客戶端UI的問題。
要解決這個問題,您需要更好的服務器端授權邏輯。
舉一個簡單的例子,如果您有一個REST API,它允許用戶通過發送ID來刪除評論,那麼您還需要在請求中包含用戶名和密碼(或其他形式的身份驗證)讓你知道誰是正在提出請求。一旦知道誰在提出請求,您必須檢查他們是否有權刪除該評論。通常情況下,這將是邏輯像:
if (comment.owner == user || user.has_role("admin")) {
comment.delete();
} else {
response.status.unauthorised();
response.send();
}
+0
想象它就像一個每個人都可以預訂房間的應用程序,你將如何設置角色?通過阿賈克斯我也可以改變你的角色。 –
+0
該角色將附加到數據庫中的用戶。用戶的角色只能由(例如)管理員用戶編輯...因此,在允許之前測試請求更改角色的用戶是否爲管理員。 – Quentin
+0
我認爲這裏有誤解,我關心的是如何防止用戶使用郵遞員或其他任何方式發送ajax請求,因爲他們使用Intranet aka網絡,而我們的服務器是內部的。 –
相關問題
- 1. 如何阻止來自同一IP的多個請求
- 2. CORS阻止來自jQuery的帖子
- 3. 防止來自同一用戶名的多個連接
- 4. 防止IP欺騙
- 5. 來自同一IP的不同會話ID在同一時間
- 6. 防止來自不同用戶的多個同時投票
- 7. 使用Tomcat來防止來自同一臺PC的併發用戶會話
- 8. XMLHTTPRequest因CORS導致IP禁止失敗
- 9. 不同的方法來防止職能
- 10. 在使用CORS時防止CSRF?
- 11. MATLAB矢量:防止來自相同範圍的連續值
- 12. 防止同一控制
- 13. 阻止IP地址,防止DoS攻擊
- 14. 阻止IP地址,查詢來自數據庫的IP
- 15. 防止相同的IP執行24小時的動作
- 16. SVG自來水亮點防止在iphone
- 17. 如何讓ServerSocket接受來自同一IP的多個連接?
- 18. 防止添加一個類,同時防止點擊
- 19. 如何防止來自不同設備的多個用戶同時登錄同一個帳戶?
- 20. 阻止來自同一服務器會話的相同請求
- 21. IP如何防止無限循環?
- 22. 來自同一臺機器的GET和POST請求是否來自不同的IP?
- 23. 來自IP的域名
- 24. 過濾來自AWS的IP
- 25. 來自IP的SCP文件
- 26. 如何防止同一網站僞造?
- 27. 防止同一請求完成多次
- 28. 防止同一時間請求
- 29. 如何防止在同一時間
聽起來像你需要添加更好的安全性與登錄系統/密碼/祕密。 – epascarello
如果您不能根據IP將不好的用戶分離出來,Cors不會幫助您。實際上,即使你可以,然後Cors仍然不會幫助你,因爲人們可能會捲曲你。您實際需要的是正確的身份驗證和權限。 **永遠不要**允許未經授權的訪問您的數據庫。 – freakish
@freakish我不是在討論關於authroization到db的話題,如果他們知道我的休息結束點,那麼在同一個網絡上的人可以使用郵遞員做些事情,不是嗎? –