保护表单提交的公共端点

Question

我有一个 next.js 静态网站，其中有一些表单，例如联系方式、工作申请等。我们的后端是.NET 4.6。由于这些表单是公开的，API 端点（Web 服务）基本上没有身份验证，任何人都可以使用 Postman 等工具开始发出请求。如何确保这些端点的安全？我想到了一些我可以做的事情：

1. 加密这些请求的有效负载，然后在处理之前在后端解密它们。这个想法是，如果其他人可以看到端点 URL，他们仍然无法正确加密数据，端点将拒绝它。出现的问题是，可以使用开发工具检查前端用于加密有效负载的密钥，然后任何人都可以发送正确加密的有效负载。

2. 在后端，检查请求标头以确保引用或原始标头指向我的网站。现在的问题是，有一些工具可以帮助您模仿成功的请求标头，这意味着有人可以使用正确的标头来欺骗请求。

确保这些端点安全的最佳方法是什么？有没有办法限制我的网站只能请求它？或者有没有办法在客户端隐藏加密密钥？关于如何解决这个问题还有其他建议吗？

Answer 1

由于您的 API 是公开的，并且生成有效负载的 HTML 也是公开的，因此实际上无法保证安全性。
但是，您可以通过使用以下步骤来使其变得更加困难

1. 请求在表单提交期间发送令牌

   • 当请求此令牌时，记录请求者的 IP
   • 限制每个 IP 每小时允许的请求数量（可能是 5？）

2. 将从 #1 获取的令牌传递到 #2

   • 提交表单后，验证令牌的请求者 IP 和当前请求 IP 是否匹配
   • 检查给定时间范围内是否有来自同一 IP 的其他表单提交，如果有，则拒绝该请求。

或者

您只需限制每个 IP 每小时允许的提交数量。
虽然这不会阻止攻击，但它会减慢他们的速度，使他们能够转向更容易的目标。