“推荐被拒绝”实施

Question

我一直在寻找，以保护Web服务从“综合查询”的方式。有关更多详细信息，请阅读security stack问题。

看来，我别无选择，直到我碰到NSE India's网站，实现了某种措施对这种合成查询出来。

我想知道他们怎么可能实现了一种有效的保护方式：您可以访问他们的网站并搜索报价，可以说RELIANCE，我们会得到一个显示最新报价的页面。

在分析中，我们发现，被发送的查询对面是一样的东西：

http://www.nseindia.com/marketinfo/equities/ajaxGetQuote.jsp?symbol=RELIANCE&series=EQ 

但当我们直接复制粘贴到浏览器中的查询，则返回“转诊拒绝”。

我想这样的程序也可以帮助我。任何想法如何我可以实现类似的东西？

Answer 1

它不会帮助你。伪造推荐人是微不足道的。防止攻击者构造查询的唯一保护是服务器端验证。

从哪里来有时能用有时阻止其他网站盗链，但即使是比较难做到，因为某些程序创建假的引荐，你不希望阻止这些用户。

的问题引荐验证可以帮助防止其他网站试图用户的浏览器操作成访问您的网站。像某些类型的跨站点请求伪造。但它绝不会防止恶意用户。对那些唯一有帮助的是服务器端验证。如果您不信任该客户端的用户，则永远不会信任该客户端。