「推薦被拒絕」實施

Question

我一直在尋找，以保護Web服務從「綜合查詢」的方式。有關更多詳細信息，請閱讀security stack問題。

看來，我別無選擇，直到我碰到NSE India's網站，實現了某種措施對這種合成查詢出來。

我想知道他們怎麼可能實現了一種有效的保護方式：您可以訪問他們的網站並搜索報價，可以說RELIANCE，我們會得到一個顯示最新報價的頁面。

在分析中，我們發現，被髮送的查詢對面是一樣的東西：

http://www.nseindia.com/marketinfo/equities/ajaxGetQuote.jsp?symbol=RELIANCE&series=EQ 

但當我們直接複製粘貼到瀏覽器中的查詢，則返回「轉診拒絕」。

我想這樣的程序也可以幫助我。任何想法如何我可以實現類似的東西？

Answer 1

它不會幫助你。僞造推薦人是微不足道的。防止攻擊者構造查詢的唯一保護是服務器端驗證。

從哪裏來有時能用有時阻止其他網站盜鏈，但即使是比較難做到，因爲某些程序創建假的引薦，你不希望阻止這些用戶。

的問題引薦驗證可以幫助防止其他網站試圖用戶的瀏覽器操作成訪問您的網站。像某些類型的跨站點請求僞造。但它絕不會防止惡意用戶。對那些唯一有幫助的是服務器端驗證。如果您不信任該客戶端的用戶，則永遠不會信任該客戶端。