我正在开发一个测验 Web 应用程序,并且在是否使用 ajax 或完整的回发来评估用户的答案方面处于两难境地。
用户在文本框中输入答案,然后单击每个问题的提交按钮。应评估答案,并立即将结果(正确/错误)呈现给用户。
自然 ajax 将是处理此问题的更用户友好的方式,但我应该担心暴力/字典攻击吗?
哪个更容易受到这些攻击?
我该如何防止这种情况?
问问题
201 次
3 回答
2
就攻击的脆弱性而言;两种方法都是一样的。ajax 请求与回发相同,但它是通过 javascript 完成的,因此只需要根据需要更新/重新加载页面的一小部分。
为您发行;如果不允许用户进行多次尝试,只需将第一个响应注册为最终响应。如果允许他们多次尝试;然后限制他们可以尝试的总次数。
如果以上都不是一个选项,那么用户总是可以蛮力。
于 2013-11-04T10:32:35.543 回答
1
我只是想添加另一种关于@kami 所写内容的方法,您还可以跟踪每个客户端的请求,并在确定的时间段内在任何“N”个请求之后显示验证码,该解决方案非常标准,这是我的已经在几个网站上看到了。
如果你问我,我更喜欢 ajax 调用而不是完整的回发。
于 2013-11-04T17:10:09.737 回答
0
我应该使用 ajax 它对最终用户来说看起来更流畅 用户感觉/体验更好
于 2013-11-04T17:54:48.323 回答