Come proteggere la mia applicazione browser da richieste malevole?

-1

Sto lavorando a un'applicazione che può essere aggiunta a siti Web di terze parti. Ciò significa che questa app viene eseguita nei browser degli utenti di terze parti e non ho il controllo su ciò che viene eseguito nel loro server.

Il mio problema è che la mia app deve caricare i dati dal mio server. Come posso proteggere il mio server in modo che non perda dati a utenti malintenzionati che provano a raschiare il mio database attraverso gli endpoint REST del mio server?

Non posso utilizzare le whitelist poiché l'utente può essere ovunque. Attualmente utilizzo hmac s ma questo non farà altro che fermare gli script kiddies dal disassemblare il codice client e inviare i propri messaggi crittografati.

Esiste una best practice per questo problema?

    
posta Hexworks 24.02.2018 - 19:04
fonte

1 risposta

2

Potrebbe essere una domanda migliore per Sicurezza delle informazioni .

Come intendi, devi presupporre che il cliente non è affidabile. Gli hacker non si preoccuperanno di smontare il tuo codice, semplicemente annunceranno la comunicazione e eseguiranno il reverse engineer (insieme a tutti i token).

Puoi controllare le sessioni, e quanto e quale tipo di dati può dare una determinata sessione, ma non c'è modo di forzare questo per andare al tuo cliente.

    
risposta data 24.02.2018 - 19:14
fonte

Leggi altre domande sui tag