2

我编写了一个应用程序,python 充当一个简单的 Web 服务器(我为此使用了瓶子框架)和一个 HTML + JS 客户端。整个事情在本地运行。在这种情况下,网页充当 GUI。

在我的代码中,我实现了一个文件浏览器界面,因此我可以从 JavaScript 访问本地文件结构。

服务器只接受本地连接,但困扰我的是:例如,如果有人知道我在本地运行我的应用程序,并伪造一个向本地主机发出 AJAX 请求的站点?我以某种方式访问​​了他的网站,我的本地文件会被攻击者看到吗?

我的主要问题是:有什么办法可以确保这一点?我的意思是我的服务器会确定该请求来自我本地提供的文件?

4

1 回答 1

1

防止这种攻击的最直接方法是每个请求都需要一个长而复杂的密钥。只需在处理请求之前让您的本地代码进行身份验证即可。这实质上就是保护 Internet 上的 Web 服务的方式。

您可能还想考虑以其他形式(如 DBUS 或 unix 套接字)进行进程间通信。我不确定您使用的是哪个操作系统,但是进程间通信有很多选项不会让您以这种方式受到攻击。

于 2012-12-09T15:47:39.237 回答