我们的一个网站是一个常见的“免费宣布您的公寓”。收入与公众使用和注册公告的数量直接相关(我们营销部门的论点)。
另一方面,REST 在设计您的 api(我们软件部门的论点)时推动保持清晰的 api,这是对任何竞争对手的数据窃取邀请。在这个视图中,Web 服务器几乎变成了一个智能数据库。
我们清楚地确定了我们的问题,但不知道如何解决这些限制。任何提示会有所帮助吗?
问问题
307 次
1 回答
1
通过 IP 限制对数据丰富元素的调用,例如每天 1000 次(或普通用户使用的三倍)
如果您公开数据,则可能会被盗。并考虑返回大型数据集的搜索元素,即使它们是由 javascript 或表单发起的——我个人已经编写了规避这些问题的拖网渔船。
您可能还会考虑(如果数据如此重要)基于从服务器发送的密钥和身份验证在客户端解密它(但这只会提高标准而不是窃取的能力。
为扫描速度过快或过多的用户添加验证码/重新验证码。
简而言之:
- 一如既往只公开最小的 API 来完成这项工作(攻击面最小化)
- 记录和限制
- 强制登录(?)。这至少可以推迟一些扫描仪
- 为您认为可能是机器人拖网您的数据的用户使用 capthca 机制
于 2013-01-22T18:00:04.877 回答