stackoverflowのような投票ボタンを保護する

Question

どのように私はここでStackoverflowのようなサーバー側の投票ボタンを保護しますか？私はどのようにボタンを提出することができましたin this answerしかし、どのようにサーバー側で、どのように私はcsrf攻撃などから投票システムを守るのですか？

Answer 1

ボットは一般的にjavascriptを実行しないため、AJAX呼び出しの場合はサーバー側でチェックしてください。

あなたはより多くのparamを追加多分保護されるようにしたい場合は、同じカルク

Answer 2

と一致するかどうサーバー上でチェックし、現在の時刻に基づいて、いくつかのcalcではJavaScriptによって自動的に生成された最も簡単で効果的な方法がありますおそらくサインアップするために投票したいすべてのユーザーを必要とするため、各投稿に投票している人を追跡することができます。すべての有権者が誰であるかを知るとすぐに、投票ごとにユーザーIDを保存すると、以前に特定の質問に投票していないことを簡単に検証できます。

もちろん、登録フォームを保護して、ボットが登録できないようにする必要がありますが、これはreCAPTCHAと他の同様の方法を使用して行うことができます。おそらく、ユーザーが複数のアカウントに登録することを制限しようとするでしょう。それはもちろん難しいことですが、少なくともアカウントごとに一意の電子メールアドレスを要求するか、Google、Facebookなどの第三者認証を使用することができます。

サインを必要としない場合あなたは、すべての投票のIPアドレスを登録することに後退しなければならないと思いますが、その道を辿るのは手間がかかります。ボットは多分IPアドレスの全範囲を使用するでしょうし、あなたは同じIPを共有している異なるユーザーからの投票をブロックするかもしれません。これは本当に面倒です。

Answer 3

ログインを要求し、それにopenidを使用することもできます。

Answer 4

各矢印リンクのGETクエリ部分に一意のIDを入れます。このようにして、攻撃者/スパイファーはCSRF攻撃の方向を知ることができません。

Answer 5

CSRFから保護するために広く受け入れられている方法は、ノンスを使用することです。ボタンがクリックされ、リクエストがAJAXまたはPOSTデータを介して送信されると、それに伴ってナンス値が渡されます。そのノンスはバックエンドで検証されます。そのノンス値が生成時にセッションに保存されるようにすることができます。ハッシュ/ソルトを使用して、ノンスが特定のアクション、つまり「投票アップ」、「投票ダウン」などに限定されるようにすることができます。

： need help understanding nonce