С учетом того, что новые заголовки отчетов HTTP разрабатываются и уточняются, представляется более важным, чем когда-либо, иметь возможность сообщать / проверять, откуда поступают отчеты.
Например, кто-то пытается "взломать"сайт может очень легко заполнить конечную точку отчетности ложными отчетами, заглушая детали того, что они пытаются.Это также вектор для DDOS-атаки.
Есть ли какой-то механизм для этого, кроме обфускации?
Подписывают ли пользовательские агенты свои отчеты?
Любой совет будеточень признателен!
Я быстро взглянул на стандартный черновик заголовка Report-To, но, похоже, его не касался.
Одна мысль о снижении уровня приложения:записывать IP-адреса всех клиентов, которые подключены и аутентифицированы, и принимать отчеты только от тех IP-адресов, которые внесены в белый список таким образом.Это предполагает, что браузер отправляет свои отчеты непосредственно с клиентского компьютера (я полагаю, что это так, но кто-нибудь может подтвердить?).