2

使用 Socket.IO,当其他客户端执行某些活动时,客户端会通过对 Socket.IO 服务器的 JavaScript 调用得到通知。

该消息被广播给所有客户端,客户端逻辑决定谁看到通知。(另一种选择是在服务器上维护一组相关客户端,并且只send()针对这些客户端 - 更好吗?)。

如何构建系统以防止有人劫持代码并向服务器发送重复通知?(某种标记化发送?)仅使用会话 ID 是不够的,因为有人可以合法登录,然后使用该会话尝试关闭系统。

而不是为此使用 JavaScript(避免客户端劫持的可能性),另一种方法可能是使用 SignalR 从代码隐藏场景中发送通知。仍在研究这个,但欢迎提出一些讨论/建议。

4

1 回答 1

0

这是将消息发送给允许阅读消息的用户的唯一方法。如果您不这样做,那么绝对没有任何东西可以保证您不会阅读此消息购买黑客。

至于第二个问题:您的意思是要防御DoS 攻击?通常对此没有解决方案。您可以做的一件事是让服务器监控给定用户发出的内容,并在用户行为不端时断开用户的连接(无论这意味着什么:))。

客户端劫持与将 JavaScript 更改为其他内容有什么关系?如果您将数据发送到客户端,然后客户端将其发回,那么是否使用 JavaScript对黑客来说没有任何区别

这是我给你的建议。

于 2012-03-05T22:54:10.400 回答