我有一个Web应用程序从我新创建的JSON API中提取数据.
我的静态HTML页面通过JavaScript从静态HTML页面动态调用JSON API.
如何限制对我的JSON API的访问,以便只有我(我的网站)可以从中调用?
如果它有帮助,我的API类似于:http://example.com/json/?var1 = x&var2 = y&var3 = z ...它根据查询生成适当的JSON.
我正在使用PHP来生成我的JSON结果...可以限制对JSON API的访问就像检查$_SERVER['HTTP_REFERER']以确保仅从我的域而不是远程用户调用API一样简单吗?
限制对域的访问的常用方法是在内容前面添加无限运行的内容.
例如:
while(1);{"json": "here"} // google uses this method
for (;;);{"json": "here"} // facebook uses this method
因此,当您通过XMLHttpRequest或仅限于您的域的任何其他方法获取此内容时,您知道需要解析无限循环.但是如果它是通过脚本节点获取的:
它会失败,因为脚本永远不会超出第一个语句.
我认为您可能误解了从用户的浏览器而不是从您自己的服务器发起JSON请求的部分.静态HTML页面被传递到用户的浏览器,然后它转过来并在页面上执行Javascript代码.此代码打开一个返回服务器的新连接以获取JSON数据.从PHP脚本的角度来看,JSON请求来自外部世界的某个地方.
鉴于上述机制,您无法阻止任何人在HTML页面的上下文之外调用JSON API.
在我看来,你不能限制访问权限,只能让它变得更难.这有点像默默无闻的访问限制.推荐人可以很容易伪造,即使使用短期密钥,脚本也可以通过不断刷新密钥来获得响应.
那么,什么可以做什么?
找出这里的弱点:
http://www.example.com/json/getUserInfo.php?id=443
攻击者现在可以轻松地在循环中请求1到1.000.000之间的所有用户信息.ID 的弱点auto_increment是它们的线性,并且它们很容易猜到.
解决方案:为数据使用非数字唯一标识符.
http://www.example.com/json/getUserInfo.php?userid=XijjP4ow
你不能循环那些.没错,您仍然可以解析HTML页面中各种键的键,但这种类型的攻击是不同的(更容易避免)问题.
缺点:当然,您不能使用此方法来限制非依赖关键字的查询,例如搜索.
京公网安备 11010802040832号 | 京ICP备19059560号-6 