我的应用程序有注册表,它通过发送数据到服务器HTTP headers
旨在寻找最简单的方法来保护我的 API 以防止垃圾邮件发送者的注册 URL 注入
例如,如果您访问http://website.com/register.php?name=bla&email=bla@bla.bla
该脚本将自动添加新用户,因为没有密钥或安全令牌来防止 URL 注入
知道如何在 android 中制作安全令牌吗?
问问题
1029 次
2 回答
4
您无能为力,如果有人反编译您的代码,他会找出您创建令牌的方式并使用该过程创建假令牌。尽管如此,这将增加一层保护,因为不是每个人都熟悉反编译和逆向工程应用程序
您无法 100% 保护您的应用免受虚假注册的影响,因为用户没有任何您可以检查的凭据。虚假注册并没有那么糟糕,因为它们不会对您造成太大伤害。
您可以限制虚假注册造成的损害
- 延迟每个注册响应 z 秒
- 不允许来自同一 IP 的每分钟注册次数超过 x 次
- 每分钟不允许超过 y 次注册
我建议使用 https(http 是纯文本)来保护应用程序 - 服务器通信,因此第三方无法获取用户数据。这将加密 url 以及标题和内容,因此没有人会知道您的应用正在发送什么以及发送到哪个 url。只有反编译应用程序才能打败它。
于 2013-05-03T07:01:45.737 回答
1
我会使用哈希并将其包含在 url 中。
例如,
http://example.com/register.php?name=bla&email=bla@bla.bla&hash=XXXX
其中 XXXX 是种子和名称和电子邮件的函数。
如何在 Android 中对字符串进行 SHA1 哈希处理?
有关于如何进行 SHA-1 哈希的信息。
于 2013-05-03T01:50:22.877 回答