使用 Socket.IO,在發送 JavaScript 事件時防止客戶端劫持 - 使用 SignalR?
[英]Using Socket.IO, to prevent client-side hijacking when sending JavaScript events - use SignalR?
問題描述
使用 Socket.IO,當其他客戶端執行某些活動時,客戶端會通過對 Socket.IO 服務器的 JavaScript 調用得到通知。
該消息被廣播給所有客戶端,客戶端邏輯決定誰可以看到通知。 (另一個選擇是在服務器上維護一組相關客戶端,並且只send()這些客戶端send() - 更好?)。
如何構建系統以防止有人劫持代碼並向服務器發送重復通知? (某種標記化發送?)僅使用會話 ID 是不夠的,因為有人可以合法登錄,然后使用該會話嘗試關閉系統。
而不是為此使用 JavaScript(避免客戶端劫持的可能性),另一種方法可能是使用 SignalR 從代碼隱藏場景中發送通知。 仍在研究這個,但歡迎一些討論/建議。
1 個解決方案
解決方案1
0 已采納 2012-03-05 22:54:10
這是僅向允許閱讀消息的用戶發送消息的唯一方法。 如果您不這樣做,那么絕對沒有什么可以保證您不會閱讀此消息購買黑客。
至於第二個問題:你說的是要防范DoS攻擊嗎? 一般沒有辦法解決這個問題。 您可以做的一件事是讓服務器監視給定用戶發出的內容,並在用戶行為不端時斷開用戶連接(無論這意味着 :) )。
客戶端劫持與將 JavaScript 更改為其他內容有什么關系? 如果您將數據發送到客戶端,然后客戶端將其發回,那么是否使用 JavaScript 對黑客來說沒有區別。
這就是我給你的建議。
如何在 vanilla javascript 中從客戶端導入 socket.io?
[英]How to import socket.io from client-side in vanilla javascript?
基於動態 url 的客戶端 JavaScript Socket.io 連接可能嗎?
[英]Client-side JavaScript Socket.io connection based on dynamic url possible?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.