我有一个应用程序登录页面。访问者输入他们的电话号码,我发送一个链接到他们的手机。
我使用jQuery (Ajax)将这个数字传递给我的API。现在任何人都可以看到该URL。因此,任何人都可以抓取该URL并发送许多请求。我该如何保护它呢?
我已经实现了CSRF Token
。现在我用PHP来做这个。生成令牌并将其存储在session
上。
但也有一个问题。如果有人加载了登录页面,他们就会获得该token
,然后就可以使用该令牌发送请求。我已经用Postman测试过了。
我可以在一次请求后清除该CSRF令牌。但我不想这么做。因为他们可能需要将此链接发送到其他号码。
现在我想做的是,使该网址private
,至少使难以找到,只有从我的网站的请求应该被接受,而不是从其他工具。
请帮帮我!
发布于 2018-06-09 03:23:20
你试图保护自己免受暴力攻击。最常见和最快捷的方法是使用CAPTCHAs。您可以使用Google Recaptcha。
此外,应用服务器应该始终验证请求数据,确保您使用的是POST方法和清理数据,以防止SQL注入或黑客尝试。
https://stackoverflow.com/questions/50766972
复制相似问题