3

我正在使用 smartystreets 来验证地址等。我给他们的唯一设置是引荐来源网址。

当我通过传递正确的推荐人向邮递员提出请求时,它工作正常。

如果有人从 AWS CloudFront 提供了相同的标头窃取了我的账户订阅限制怎么办。

试图了解我的订阅是如何受到保护的。

谢谢。

以下是我可以在没有订阅 smartystreets 的情况下进行查询的方法,

URL 与 GET 一起使用(引用者:https ://smartystreets.com/ )标题:

https://us-zipcode.api.smartystreets.com/lookup?auth-id=21102174564513388&agent=smartystreets%20(website%3Ademo%2Fsingle-address%40latest)&city=Tustin&state=CA&zipcode=92780&candidates=5&geocode=true&input_id=0

公开的身份验证令牌ID:21102174564513388

在此处输入图像描述

4

1 回答 1

1

您是对的,如果有人设法窃取您的域名,那么他们将能够使用您的 SmartyStreets 订阅。这里的一线希望是来自使用网站密钥的浏览器的所有请求(旨在用于公共的、面向前端的 javascript 代码)都是速率限制的,从而防止了可能发生的查找次数。如果域被盗,您可以主动删除您帐户上的网站密钥,或者您可以在几分钟内关闭 SmartyStreets 订阅,以防止未经授权的访问。

有关网站密钥及其安全模型基础知识的更多信息:

https://smartystreets.com/docs/cloud/authentication

顺便说一句,我是 SmartyStreets 的后端工程师。

于 2017-10-23T18:23:07.450 回答