Accesso anonimo a api REST, protezione

Naviga le tue risposte
1

Ho un sito web pubblico che non richiede l'autenticazione. È un calcolatore di illuminazione per coltivazione indoor. Chiunque può entrare e completare il processo e in definitiva salva le impostazioni per un utilizzo futuro condividendolo su Facebook o Twitter.

La configurazione viene salvata come documento in un database, utilizzando una API REST. In questo momento nulla impedisce a qualcuno di creare un bot e riempire il mio disco rigido in poche ore.

Quali misure posso adottare per proteggere il mio servizio?

    
posta rnrneverdies 11.09.2014 - 04:42
fonte

1 risposta

3

Aggiungi un limite per IP / browser come inizio e anche un rallentamento per l'intero sito. Quindi se ottieni altro > Il 150% della quantità normale di richieste (in totale) aggiunge un limite di tempo che interrompe le richieste. Lascia che l'utente attenda fino al minuto successivo, ad esempio. Questo lo fermerà.

link

Quindi, se sei oltre il limite, invia un errore 503. Questo salva il tuo server. Quindi in javascript ottieni il codice di risposta, capiscilo e mostra all'utente un timer.

Se altri lo usano sul loro sito web, puoi anche ottenere un passaggio dalla tua pausa API e includerlo nella pagina. Come un ID di sessione. In questo modo puoi bloccare tutti quelli che non sono venuti dal sito web all'inizio. Rendendolo più complesso perché devono fare 2 richieste.

    
risposta data 11.09.2014 - 07:51
fonte

Leggi altre domande sui tag

Come posso aggirare il cerchio infinito del cambiamento tecnologico [duplicato] Odori nella gestione delle eccezioni: come separare tra le eccezioni pubbliche e interne?