保護在Chrome擴展程序中公開的API
[英]Securing the API exposed in chrome extension
問題描述
當前狀態 :
我正在開發Chrome擴展程序。 我的擴展程序向我的Web服務器發出請求,並顯示獲取的結果。
缺點:
- 我公開了我的API,因此擴展的任何第三方(不一定是擴展所有者)都可以在我的服務器上發出許多請求。 這將允許他訪問我的所有數據
- 如果通過機器人頻繁發出請求,這也可能導致我的服務器崩潰。
因此,有什么方法可以授權對相應服務器句柄的請求僅通過chrome擴展。 可以通過設置一些cookie並在發送結果之前檢查它們來完成此操作嗎?
謝謝 !
1 個解決方案
解決方案1
2 已采納 2013-09-10 01:24:19
不,您不能確保只有您的Chrome擴展程序正在發出請求。 一旦您的代碼離開了您的控制(即客戶端擁有了),就無法保證它不會被篡改或進行反向工程。 但是,您可以做的是讓用戶在訪問API之前登錄。
通過身份驗證,您無需驗證用戶是否在使用您的Chrome擴展程序,但是如果您的服務器成為大量流量的對象,則確實有人可以將其列入黑名單。 您可以讓chrome擴展程序的用戶一次創建一個帳戶,然后擴展程序可以將每個請求的憑據發送到您的服務器。
您可能會嘗試嘗試嵌入諸如秘密令牌或密碼短語之類的事情,但這只會阻止懶惰的攻擊者。 此外,它可能會給您帶來錯誤的安全感。 如果您擔心拒絕服務攻擊,請使用身份驗證。
Chrome瀏覽器API(用於瀏覽器擴展)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.