Impedire che una pagina web venga colpita da un altro server

Naviga le tue risposte
0

Un attacco DDoS può derivare da un sito Web che tenta di accedere alla risorsa di un altro sito web. Ad esempio, example.com (attaccante) sta tentando di accedere alle risorse su example.net (vittima).

Le informazioni che ho raccolto fino ad ora sono:

  1. Se example.com tenta di accedere alle risorse su example.net incorporando il sito in un <iframe> , example.net può attenuarlo utilizzando X-Frame-Options intestazione.
  2. Se example.com tenta di accedere alle risorse su example.net utilizzando XHR , example.net può attenuarlo utilizzando Access-Control-Allow-Origin intestazione.

Nei casi precedenti, example.net viene ancora colpito da example.com anche se il contenuto non viene offerto. Esistono standard o meccanismi W3 che possono essere utilizzati per evitare che example.net venga colpita al primo posto?

    
posta aka_007 31.01.2016 - 20:23
fonte

2 risposte

0

Questo problema è inerente al sistema e non sarai mai in grado di impedirlo veramente. Quello che si può fare per impedire l'inclusione di immagini in altri domini è elaborare ogni richiesta e controllare l'intestazione referer per il dominio di origine. Quando inserisci un URL nel tuo browser, premi il tasto broweser per scaricare il file HTML e poi scarica tutte le risorse di questo file incluse tutte le immagini collegate da img tag. Poiché queste risorse non vengono scaricate direttamente, il browser aggiungerà l'URL della pagina Web originariamente chiamata come referer .

Il modo in cui può essere implementato si basa sulla tecnologia lato server che stai utilizzando.

    
risposta data 01.02.2016 - 08:28
fonte
1

Non sei sicuro di cosa stai cercando di chiedere, ma proverò a rispondere alla domanda che penso tu stia chiedendo.

Finché le tecnologie web consentono di prelevare risorse da altri domini è possibile questo tipo di attacco DDoS. Anche se il server remoto non restituisce nulla, deve elaborare le richieste (ad esempio, utilizza le risorse del server). Questo tipo di attacco richiede che il sito dannoso abbia abbastanza visitatori per sopraffare il server di destinazione con il traffico. Questo è fondamentalmente simile all'effetto slashdot , ma succede senza che l'utente sappia che il browser sta recuperando materiale dal sito di destinazione .

    
risposta data 01.02.2016 - 08:07
fonte

Leggi altre domande sui tag

trasferimento di denaro sicuro su open wifi VS vpn non consentito Come può un certificato RSA-2048 essere vulnerabile all'attacco di log-jame? [duplicare]