作爲思想實驗的一部分,我試圖確定服務器是否有希望提供一段僅用於瀏覽器環境的接收和使用的數據,即無法通過爬行我的站點的bot讀取。顯然,如果這些信息是在源代碼中發送的,或者通過任何常用的HTTP方式發送的,那麼這可以通過一個bot來獲取 - 迄今爲止,這麼簡單。傳輸僅供瀏覽器環境接收的信息?
但是,如果信息是由服務器發送的,而不是作爲websocket消息傳遞的:那麼這隻能由瀏覽器環境中的一些相應的(可能是經過身份驗證的)JavaScript接收,從而阻止了它被bot攔截? (這是基於我的假設,一個殭屍程序沒有客戶端環境,本質上是一個惡意的服務器端腳本,通過類似cURL的東西來調用網站,假裝成一個用戶)。
另一種表述這個問題的方式可能是:在websockets的web實現中,是否收到始終由客戶端環境(即JS)完成的消息?
是的,我意識到一個承諾的攻擊將模擬任何你可以設計的環境。我能想到的唯一例外是網絡套接字,因此是個問題。 +1,但。 – Utkanos