Проблема
Хотя понятно, как заставить это работать в традиционном веб-приложении, я не уверен, как гарантировать это в одностраничном приложении.
В веб-приложении вам нужно только просмотреть исходный код HTML, чтобы найти ключи API или другие секреты.Даже если вы используете традиционный веб-сервер, файлы cookie также могут быть получены для автоматизации атак на него.
В то время как этой серии статей о технологиях безопасности Mobile API относятся к мобильным устройствам,некоторые из используемых методов также действительны в API других типов, таких как API для приложений Web / SPA, и вы можете увидеть, как ключи API, токены OUATH и секреты HMAC могут использоваться для защиты API и обойтись.
Возможное решение
Вы можете попытаться затруднить поиск ключа API с помощью Javascript Obfuscator , но имейте в виду, что это только задерживает нападавшего на успех.
Итак, как я могу заблокировать атакующего?
Ну, жестокая правда ... Вы не можете !!!
Но вы можете попробовать, используя reCAPTCHA V3 от Google, который работает в фоновом режиме, поэтому не требует взаимодействия с пользователем.Недостатком здесь является то, что все ваши клиенты B2B должны были бы реализовать его на всех страницах своих веб-сайтов, поэтому, возможно, это не тот подход, который подходит для вашего варианта использования ...
reCAPTCHA V3 :
reCAPTCHA - это бесплатный сервис, который защищает ваш сайт от спама и злоупотреблений.reCAPTCHA использует усовершенствованный механизм анализа рисков и адаптивные задачи, чтобы автоматизированное программное обеспечение не использовалось для злоупотреблений на вашем сайте.Это делает это, позволяя вашим действительным пользователям легко проходить через них.
Если ваше решение B2B действительно нуждается в его защите любой ценой, вам необходимо использовать брандмауэры веб-приложений (WAF) и решения для анализа поведения пользователей, также известные как UBA, которые используют искусственный интеллект и машинное обучение.чтобы предотвратить злоупотребления, но еще раз они не могут гарантировать 100% блокировку и оба имеют ложные срабатывания.
WAF :
Брандмауэр веб-приложения (или WAF)фильтрует, отслеживает и блокирует HTTP-трафик в веб-приложение и из него.WAF отличается от обычного брандмауэра тем, что WAF может фильтровать содержимое определенных веб-приложений, в то время как обычные брандмауэры служат в качестве шлюза безопасности между серверами.Проверяя HTTP-трафик, он может предотвратить атаки, связанные с недостатками безопасности веб-приложений, такими как внедрение SQL, межсайтовый скриптинг (XSS), включение файлов и неправильная настройка безопасности.
UBA :
Аналитика поведения пользователей (UBA), как определено Gartner, представляет собой процесс кибербезопасности, связанный с обнаружением внутренних угроз, целевых атак и финансового мошенничества.Решения UBA рассматривают модели поведения людей, а затем применяют алгоритмы и статистический анализ для выявления значимых аномалий из этих моделей - аномалий, которые указывают на потенциальные угрозы.Вместо отслеживания устройств или событий безопасности, UBA отслеживает пользователей системы.Платформы больших данных, такие как Apache Hadoop, расширяют функциональность UBA, позволяя им анализировать данные объемом в петабайты для обнаружения внутренних угроз и расширенных постоянных угроз.
Заключение
В конце концов, вы можете защитить свой сервер B2B только наилучшим образом, что должно быть пропорционально ценности, которую оно имеет для бизнеса.
100% -ного решения для сети не существует, так как оно было разработано для работы !!!