当前状态 :
我正在开发 chrome 扩展。我的扩展程序向我的网络服务器发出请求并显示获取的结果。
缺点:
- 我公开了我的 API,因此任何第三方(不一定)扩展程序的所有者都可能在我的服务器上发出许多请求。这将允许他访问我的所有数据
- 如果通过机器人非常频繁地发出请求,这也可能导致我的服务器崩溃。
那么,有没有什么方法可以授权对相应服务器句柄的请求仅通过 chrome 扩展。可以通过设置一些cookie并在发送结果之前检查它们来完成吗?
谢谢 !
问问题
291 次
1 回答
4
不,您不能确保只有您的 Chrome 扩展程序在发出请求。一旦您的代码离开您的控制(即客户端拥有它),就无法保证它不会被篡改或反向工程。不过,您可以做的是让用户在访问您的 API 之前登录。
通过身份验证,您并没有验证用户是否正在使用您的 Chrome 扩展程序,但如果您的服务器成为大流量的主题,您确实可以将某人列入黑名单。您可以让 chrome 扩展程序的用户创建一个帐户,然后扩展程序可以在每次请求时将这些凭据发送到您的服务器。
您可能很想尝试嵌入秘密令牌或密码,但这只会阻止懒惰的攻击者。此外,它可能会给你一种虚假的安全感。如果您担心拒绝服务攻击,请使用身份验证。
于 2013-09-10T01:24:19.460 回答