3

現在の状態 :

私はクロム拡張に取り組んでいます。拡張機能が Web サーバーにリクエストを送信し、取得した結果を表示します。

短所 :

  1. 私は自分の API を公開しているので、拡張機能の所有者であるとは限らないサードパーティが、私のサーバーで多くのリクエストを行う可能性があります。これにより、彼は私のすべてのデータにアクセスできるようになります
  2. リクエストがボットを介して非常に頻繁に行われると、サーバーがクラッシュする可能性もあります。

したがって、対応するサーバーハンドルに対して行われたリクエストがクロム拡張のみを介して行われることを承認できる方法はありますか? Cookie を設定し、結果を送信する前にそれらをチェックすることで、それを行うことはできますか?

ありがとう !

4

1 に答える 1

4

いいえ、Chrome 拡張機能だけがリクエストを行っていることを保証することはできません。あなたのコードがあなたのコントロールを離れると (つまり、クライアントがそれを持っている)、それが改ざんされたり、リバース エンジニアリングされたりしないという保証はありません。ただし、できることは、API にアクセスする前にユーザーをログインさせることです。

認証によって、ユーザーが Chrome 拡張機能を使用していることを確認することはできませんが、サーバーが大量のトラフィックの対象になった場合に、誰かをブラックリストに登録する必要があります。chrome 拡張機能のユーザーに一度アカウントを作成してもらうと、拡張機能は要求ごとにそれらの資格情報をサーバーに送信できます。

秘密のトークンやパスフレーズを埋め込むようなことを試してみたくなるかもしれませんが、これは怠惰な攻撃者を止めるだけです. さらに、誤った安心感を与える可能性があります。サービス拒否攻撃が心配な場合は、認証を使用してください。

于 2013-09-10T01:24:19.460 に答える