0
Answered

Токен легко своровать на сайте. Как защититься?

Anonymous 3 years ago • updated by Валерия 2 months ago 5

Может кто-то спрашивал: токен легко своровать на моем сайте. Т.е. сервис использую на общедоступном сайте. Можно ли как то защититься?

Answer

Answer
Answered

Можно сделать привязку по домену. Если нужно – напишите логин и домен в комментариях (не будут опубликованы).

Answer
Answered

Можно сделать привязку по домену. Если нужно – напишите логин и домен в комментариях (не будут опубликованы).

Интересно, если запрос уходит с клиентской стороны (ajax-запрос из браузера, с открытой дырой в виде "Access-Control-Allow-Origin: *", простая привязка на стороне dadata к домену, обходится среднестатистическим спецом не просто, а очень просто. Можете прокомментировать, как защититься от этого?

"Access-Control-Allow-Origin: *" — это просто хедер, а следовательно при любом значении он обходится. Пока запросы инициируются из браузера пользователя, любую защиту можно обойти.

То есть привязка к домену - не 100% защита токена?

Пока запросы инициируются из браузера пользователя, любую защиту можно обойти. Другое дело, что обычно злоумышленники ленивы и недалёки, и предпочитают не заморачиваться — поэтому простой привязки к домену достаточно.

Привязка к IP-адресу при работе из браузера лишена смысла, потому что запросы идут с компьютеров конечных пользователей, и IP-адреса будут именно их (а их великое множество).

Проксирование через ваш собственный сервер точно так же не обезопасит, потому что злодей скопирует запрос с сайта и прекрасно будет слать его на ваш проксированный адрес. Вы можете проксировать с использованием CSRF-токена, но и это при желании можно обойти.