0
私は社内で使用するために何かを開発していますが、スタッフが同じIPを使用しているため、休憩リクエストを送信して何かをDBに挿入することができます。私はスクリプトを小さくしても、ネットワークタブに行き、リクエストを見ることができます。同じIPアドレスのコーズを防ぐ
この場合のコルの適用方法は?
A
答えて
2
できません。
信頼できる人が訪問した信頼できないWebサイトを停止するには、訪問者のブラウザを使用してサーバーに要求し、そこからデータを盗みます。
CORSには、第三者のWebサイトがある場合に、同じ起点ポリシーを選択的に無効にすることがあります。doはデータを信頼します。
どちらも、データベースを変更すると信頼するユーザーがいるが、ユーザーが指定したクライアント側のUIを通じてのみ問題を解決するものではありません。
この問題を解決するには、サーバー側認可ロジックが必要です。
簡単な例として、ユーザーがIDを送信してコメントを削除できるようにするREST APIを使用している場合は、ユーザー名とパスワード(または認証に使用する他の形式)を要求に含める必要があります。が依頼しているをお知らせします。誰がリクエストを行ったのかを知ったら、コメントを削除する権限があることを確認する必要があります。通常は次のような論理になります。
if (comment.owner == user || user.has_role("admin")) {
comment.delete();
} else {
response.status.unauthorised();
response.send();
}
+0
誰もが部屋を予約できるアプリのようなものだと想像してください。どのように役割を設定しますか?私はあなたの役割も変えることができます。 –
+0
ロールはデータベース内のユーザーに関連付けられます。ユーザーの役割は、(たとえば)管理ユーザーだけが編集できるようにする必要があります。許可する前に、役割の変更を要求するユーザーが管理者であるかどうかをテストします。 – Quentin
+0
私はここに誤解があると思う、私の懸念は、人がイントラネットのインターネットネットワークを使用しており、私たちのサーバーが内部であるため、郵便配達員などを使って人々がAJAX要求を送信するのを防ぐ方法です。 –
関連する問題
- 1. 同じIPアドレスを持つAzure Webアプリケーション
- 2. 同じMACアドレスと同じIPアドレスを持つコンピュータを検出する
- 3. アスタリスク、2つのIPアドレス、同じセグメント、同じphisicalインタフェース
- 4. javafxの同じユーザーからの同時ログインを防ぐ
- 5. 同じモデルの複数のインスタンスを防ぐ方法
- 6. 2つのホストが同じIPアドレスを示します
- 7. 同じCSSファイルが何度もダウンロードされるのを防ぐ
- 8. Fullcalendarで同じ色またはイベントのオーバーフローを防ぐ
- 9. 同じ戦争で春のセッションオーバーライドを防ぐ
- 10. ドメインとそのサブドメインのIPアドレスは同じですか?
- 11. TortoiseSVNと同じSVNサーバーの代替IPアドレス
- 12. makeユーティリティが同じターゲットを同時に実行するのを防ぐには?
- 13. ブックを閉じるのを防ぐ
- 14. Jsoup.parseが閉じるのを防ぐのを防ぐ</img>タグ
- 15. がデータベースに入力同じデータにユーザーを防ぐため、ユーザーを防ぐために(アンドロイド)
- 16. selectmenuウィジェットが閉じるのを防ぐ
- 17. aurelia-dialogが閉じるのを防ぐ
- 18. JavaFXダイアログが閉じるのを防ぐ
- 19. 同じIPアドレスに関連付けられたWebサイト
- 20. Pythonスレッドを閉じてメモリリークを防ぐ
- 21. モーダルで閉じるボディスクロールを防ぐ
- 22. Kubernetes - サービスクラスターのIPアドレスとPodのIPアドレス
- 23. woocommerceのカートに同じ商品を2回追加するのを防ぐ
- 24. どのように同じオブジェクトを共有するのを防ぐには?
- 25. 他のアプリケーションが同じ許可名を定義するのを防ぐ方法
- 26. Visual Studioのコード - 同じファイルを開くのを防ぐには、二回
- 27. Objective-cの同じネットワークカードに別のIPアドレスを追加してください
- 28. debianの同じインタフェース上に異なるネットワークルートを持つ複数のIPアドレス
- 29. 同じサブネットから2つのIPアドレスを持つLinux - PCの問題
- 30. が反応 - 同じデータを2回レンダリングからライフサイクルのコンポーネントを防ぐ:WillReceiveProps&componentDidMount
システムのログイン/パスワード/シークレットでセキュリティを強化する必要があるようです。 – epascarello
良いユーザーをIPに基づいて悪いから分離できない場合、Corsは役に立ちません。そして、実際にはあなたがしても、人々は単にあなたをカールさせるかもしれないので、いまだにあなたを助けません。あなたが実際に必要とするのは、適切な認証と特権です。 **あなたのデータベースへの無許可のアクセスを許可しないでください**。 – freakish
@freakish私はDBにauthroisationを話しているわけではありません、彼らは私の残りの終点を知っている場合、同じネットワーク上にいる人は何かをするために郵便配達を使用することができますか? –