如何保证后端接收到的请求来自受信任的客户端?
我理解的:后端不应该信任前端,对于接收到的请求应该进行严格的验证。
但是如果这样做的话,前端在给后端发请求前,会对参数做一次检查,然后后端接收到请求后,还要在做一次更严格的检查,好麻烦啊。。。
所以我想请教一下,如何设计一个架构,让后端信任自己的前端,或者在后端过滤掉不可信的请求或第三方请求?
最初想的是使用跨域限制,后来发现太容易伪造一个请求了。。。不可行
然后想加上HTTPS,但是个人能力有限,还不会伪造HTTPS请求,但是直觉上感觉这也不可行。。。
望各位不啬赐教~
谢谢!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
本质上没有完全安全的系统
你只能想办法提高“伪造”的成本
只要你的认证过程是基于双方的,而不是白名单这种单向的,那你就不可能让人无法模拟你的流量,虽然哪怕是白名单也有办法伪造但是那种定向攻击你除了物理隔离并没有什么好办法。
顶多就是加密,如你所说HTTPS,但是这个东西,你也并不是能百分百防范中间人攻击。
阿里的一些业务接口,有这样参数那样参数 ,除了认证就是防重放,但你读个网页解析一下取了token然后带个cookie就连上了。
讲来讲去,安全问题就是个成本问题,前提是你基础的安全措施都做了。