スクリプト攻撃に対してNode/JavaにデプロイされたGoogle App Engineサービスを保護する

Question

GAEにアプリケーションエンジンサービスがデプロイされています（ノードで書かれています）。データはCORS ajax呼び出しとしてプッシュされます。私は、POSTリクエストは開発ツールを介してブラウザに表示できるので、誰かがブラウザのコンソールから同様のデータをポストするためにアプリエンジンのURLを使用することができます（Firefoxのように、URLを再送信することができます。 ） に私は、

1. は私のドメインは、GAEにデータを送信することができるようにファイアウォールの設定を使用ここを参照してくださいいくつかのオプションを推測します。 ブラウザコンソールからリクエストを繰り返し送信できるので、これでも失敗する可能性があります。
2. カスタムルールを作成するためのプロキシとしてWAF（Web Application Firewall）を使用します。

私のGAEサービスを保護するにはどうすればよいですか？

Answer 1

＃1のアプローチが実際にあなたのために働くとは思っていません。投稿のリクエストがブラウザの開発ツールに表示されている場合、実際にはウェブサイトではなくクライアントによって作成されているため、実際にファイアウォールルールを使用してそれらを保護します。

基本的にあなた自身のウェブサイト/アプリ（この順番でクリックが発生すると想像している）から発信されたリクエストは、ウェブサイト/アプリ内に配置されますインテリジェントな意思決定に必要な元のコンテキストを発見/復元するためにループを通過する必要があります）。もちろん、これはウェブサイト/アプリが静的/愚かなサイトではなく、あるレベルのインテリジェンスを持っていることを前提としています。

たとえば、説明した投稿リクエストを再生するためのブラウザ開発ツールを使用している場合、ウェブサイトアプリには、最初の呼び出し時に設定された（実行された）フラグ）、したがって、要求の後続の複製/コピーを単に拒否することができます。

上記のようにして、クライアントからのサービス要求の送信を置き換えます。代わりに、私は上記の健全性チェックを通過した後に、あなたのウェブサイト/アプリを使用して、代わりにサービスリクエストを作成して行います。これは簡単なファイアウォールルールで安全にすることはほとんど自明です。有効なリクエストは、クライアントからではなく、あなたのウェブサイト/アプリからのみ受け取ることができます。私はこれが＃1アプローチを挙げたときに思いついたことに近いと思う。