防止内容注入到HTTP Req标头中
问题描述 投票:0回答:2
我正在使用Requestly Chrome扩展程序来拦截和修改HTTP请求标头,并在我的NodeJS应用程序中更改其原始值。
2个回答
0
投票
投票
无法阻止用户执行此操作。
您不能信任Referer标头。
0
投票
投票
您不能,但是您可以尝试使事情变得更困难,这是一种对标头/数据(sha512等)进行签名并在标头/ cookie /数据中添加签名的棘手方法。
在服务器上使用相同的功能来检查该值在传输过程中是否已被修改。
“但是“黑客”仍然可以尝试检查客户端代码并使用签名功能来修改值?”
是,但是您可以将事情转变为完全不合法的事情:
- 使您的应用程序包含大量无用的大脚本,这些脚本什么也不做(当然是丑陋的)
- 将您的签名函数划分为许多(以随机字符命名的)许多函数,然后对其进行丑陋处理,将其中之一放入您无用的大脚本中。
- ...
客户端上没有任何可信任的,但是您可以尝试阻止黑客:D
最新问题
- 对多个 Div 应用倾斜 3D 悬停效果
- XMLStarlet - 替换部分属性
- 无法在 Visual Studio 中创建新的 .NET Core 项目
- 如何在openpyxl中删除图例名称
- VueJs 动态 v-on 事件可能吗?
- Flutter 中的原生相机视图不占据整个宽度和高度
- 当我想更新测试用例/测试步骤时,qTest API 调用不会上传附件
- gcov 生成正确的输出,但 gcovr 不生成
- 带有 Socks 代理的 JMeter?
- C# 调用返回具有固定大小字符数组的结构的 C 函数
- 引理不能用作提示
- 带有下一个js的无头cms
- 如何删除pylatex创建的booktabs表中的@表达式?
- 有没有办法在 Pandas 中删除_in place_重复列_names_?
- 是否有整数二次规划或约束规划求解器支持大约10^54的整数值?
- 使用 python-polars 的“True”实例的分数
- Java:没有“FormalParameter”的增强循环
- 计算最高连续出现次数,然后仅将最高连续出现次数相加
- HttpRequest 未触发
- nodejs 环境变量“NODE_EXTRA_CA_CERTS”
© www.soinside.com 2019 - 2024. All rights reserved.