aax如何防止非法调用,非本站调用的情况,一般以何种方式做安全机制?
只要你对外公开,不需要session验证总会有办法调用,无法完全禁止,只能增加难度,如使用token之类的,判断来源地址(可以伪造)
可以把所有的JS加密,然后再通过伪静态的方式,尽量减少直接暴露接口的方式出现在JS中
我们没有办法去防止这些调用的。
解决方法:
1.如果是密码类的传输,客户端可以使用像MD5这样的单向加密方式,存储在数据库也是MD5加密的;
2.通过token机制将token存在浏览器的localStorage里面,每一次登录都实时更新,确保是有效的访问;
3.使用公钥私钥的方式,加密传输的数据,就算被人中途抓包也没办法知道里面的内容;
总结:这样一套安全机制做下来,程序会变得很复杂,而且也不能绝对滴防止信息丢失。而作为黑客,也不太愿意去攻击这些地方,更多地是去攻陷服务器,这里的安全机制取一个中间度就可以了,防止一些简单的非法调用。
首先,你可以通过判断域名,如果是你本站下的页面访问,域名就是你自己的,虽然这个方法可以被绕过,但是这个已经过滤掉了一层,接下来就是生成一个token,每次访问都带上token,这个token要带有时效性,如此便可防止别人调用。