保护在Chrome扩展程序中公开的API
[英]Securing the API exposed in chrome extension
问题描述
当前状态 :
我正在开发Chrome扩展程序。 我的扩展程序向我的Web服务器发出请求,并显示获取的结果。
缺点:
- 我公开了我的API,因此扩展的任何第三方(不一定是扩展所有者)都可以在我的服务器上发出许多请求。 这将允许他访问我的所有数据
- 如果通过机器人频繁发出请求,这也可能导致我的服务器崩溃。
因此,有什么方法可以授权对相应服务器句柄的请求仅通过chrome扩展。 可以通过设置一些cookie并在发送结果之前检查它们来完成此操作吗?
谢谢 !
1 个解决方案
解决方案1
2 已采纳 2013-09-10 01:24:19
不,您不能确保只有您的Chrome扩展程序正在发出请求。 一旦您的代码离开了您的控制(即客户端拥有了),就无法保证它不会被篡改或进行反向工程。 但是,您可以做的是让用户在访问API之前登录。
通过身份验证,您无需验证用户是否在使用您的Chrome扩展程序,但是如果您的服务器成为大量流量的对象,则确实有人可以将其列入黑名单。 您可以让chrome扩展程序的用户一次创建一个帐户,然后扩展程序可以将每个请求的凭据发送到您的服务器。
您可能会尝试尝试嵌入诸如秘密令牌或密码短语之类的事情,但这只会阻止懒惰的攻击者。 此外,它可能会给您带来错误的安全感。 如果您担心拒绝服务攻击,请使用身份验证。
Chrome浏览器API(用于浏览器扩展)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.