Question

Я создаю пользовательский скрипт tampermonkey, который отправляет запрос POST с веб-сайта, содержащего высокий балл пользователя. Примерно так, например:

$.post('https://example.com/scores', {
    id: 123, high_score: 999,
});

Однако проблема в том, что пользователям очень легко подделать поддельный счет и отправить свой собственный запрос POST с поддельным high_score. Был бы способ как-то аутентифицировать эти запросы, чтобы я мог отличить реальные запросы от моего пользовательского сценария и поддельные от пользователей? Возможно какое-то шифрование / дешифрование?

mohammad mohammad · Answer 1 · 16 сентября 2018

вы можете добавить скрытый ввод на вашу страницу с одноразовым значением (число используется только после того, как оно может быть сгенерировано на основе используемой вами платформы (уникальный идентификатор)), когда вы отправляете сообщение, читаете значение и добавляете это вам сообщение тела, на стороне сервера вы проверяете, существует ли этот одноразовый номер в базе данных, то это сообщение является подлинным, в противном случае это не так. На вашем бэкэнде вы можете сохранить этот одноразовый номер в сеансе, если у вас есть сеансы, это пример

<input type="hidden" value="your-nonce" id="your-id">

<script>
let nonce = $("#your-id").val();
$.post('https://example.com/scores', {
    id: 123, high_score: 999,nonce
});
</script>

Аутентификация POST-запросов

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Аутентификация POST-запросов

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов