Это то, о чем вам не следует беспокоиться, если вы используете модели представлений. Но поскольку это API, все должно быть немного сложнее.
Вы можете утверждать, что @sm отключает кнопку отправки, когда пользователь отправляет запрос, но если вы отправляете чистый api и не несете ответственности за потребителя. Тогда об этом не может быть и речи
То, что мы делаем в нашем офисе, это ff.
Tokenized Рукопожатие.
Каждый запрос POST, PUT, PATCH, DELETE (почти любой запрос не GET) должен получить токен с сервера перед доступом к конечной точке API. В этой части вы можете проверить, сколько раз пользователь запрашивал токен для использования. Это сложно, но вы можете отслеживать активность пользователя. Вы также можете установить порог запроса и запретить пользователю, если он превышает разумный запрос, который человек может отправить без намерения нарушить ваш API.
Используйте специальный секретный атрибут заголовка.
Если вы отправляете API для частного коммерческого использования, используйте секретный ключ заголовков и отдайте кредит доверенной стороне, которая будет использовать ваш API.
Различные модели для GET и POST. И для бога ИСПОЛЬЗОВАТЬ DTO вместо использования класса POCO прямо в вашем методе действия
Я не совсем знаком, но наши DEVOps гарантируют, что, если мы отправляем публичный API. В вашей среде IIS prod должна быть настроена фильтрация DDOS.