Sto implementando un checkout rapido nel mio e-store.
Il cliente deve solo inserire l'e-mail e il numero di telefono per effettuare un ordine, il sistema controlla se il cliente con tali campi è già registrato, altrimenti non si registra automaticamente come nuovo cliente e completa l'ordine.
Quindi, non ci sono sessioni, niente cookie o token. Il problema è ovvio, qualcuno può semplicemente inviare migliaia di richieste per fare un ordine e questo non solo renderà il server non disponibile ma creerà molti dati nel DB.
Qual è il modo migliore per proteggersi da tali attacchi? L'uso di qualcosa come nonce o token CSRF non salverà dagli attacchi perché non sono legati alla sessione, non è una sessione.
Si prega di suggerire il modo migliore per proteggere dagli attacchi nel mio caso.