Для веб-приложения я ищу средства связи, которые позволят веб-приложению взаимодействовать только с моим сервером.
Поскольку URL-адреса вещей могут быть извлечены из кода JavaScript, можно использовать эти URL-адреса напрямую, например, для грубой атаки на данные для входа в систему, или запросить, если конкретный пользователь уже зарегистрирован в системе, чтобы привести лишь несколько примеров.
У меня такое ощущение, что шифрование данных на стороне клиента и дешифрование на стороне сервера не сработает, потому что любое шифрование, даже сложное, на стороне клиента, снова подвергнется атакующему через код JavaScript. Для авторизации по форме можно отправить одноразовый ключ авторизации. Но такой ключ снова может быть получен и использован злоумышленником, так в чем же преимущество безопасности?
Итак, вот актуальный вопрос: как я могу разрешить только моему приложению общаться с сервером и отклонять прямые вызовы?
Примечание: у меня есть SSL, поэтому шифрование передачи не имеет значения. Но это не поможет против атак грубой силы.