Не каждый HTTP-запрос указывает свой домен, поэтому в лучшем случае вы можете попытаться сопоставить исходный IP-адрес с доменом.
Если ваши принятые домены имеют постоянные диапазоны IP-адресов, вы можете внести их в белый список и заблокировать все остальное.
IP-спуфинг обычно возможен, если у злоумышленника есть инсайдер на сетевом уровне, ведущий к вашему хост-сайту. Без этого злоумышленники могут попытаться сделать ваши API-интерфейсы DoS, но для отправки HTTP-запросов им потребуется много работы .
Если вы используете заголовки HTTP для объявления домена, тогда злоумышленникиможет полностью подделать их.
Если ваши API только обслуживают ваше приложение, самое простое решение - использовать HTTPS и подписывать и / или аутентифицировать каждый запрос (посмотрите JWT , он очень популярен в наши дни).
Существуют также решения, основанные на выявлении «неожиданных» запросов, которые также не требуют, чтобы ваши приложения имели постоянные диапазоны IP-адресов, а также безопаснее открывать ваши API-интерфейсы для приложений, которыми вы не владеете. Это решения для брандмауэра веб-приложений (WAF) , у некоторых есть бесплатные уровни.
Ключевым моментом, который следует помнить, является то, что существует большое количество "базовых" хакеров и небольшое количество "мастер "хакеров, а безопасность - это все, что нужно для того, чтобы отсеять как можно больше хакеров из нижних слоев этой пирамидыСильный, находчивый, хорошо финансируемый злоумышленник в конце концов взломает вас, но чаще вы просто хотите, чтобы злоумышленники, желающие заработать деньги, пошли в атаку на более легкую цель.