私はこのWebアプリケーションを作成しました。このAPIを作成しました。この例のために、単純にしておきましょう:API「スプーフィング」または「ハッキング」を防ぐ
私のアプリは、ユーザーが持っている「クレジット」の数を知る必要があります。 {credits:1000}
を返すget_creditsが呼び出されました。{credits:2000}を返す自分のapiを作成するために、誰かがホストファイル(またはその他のメソッド)を使用するのを防ぐ方法を教えてください。
私はある種のハッシュを挿入することを考えていましたが、javascriptなので、ハッシュはソースから簡単に抽出されます。同じことが、私が推測する握手のために行く。
どうすれば十分なセキュリティを確保できますか?
クライアント側であれば、できることはあまりありません。最善を尽くしてください。しかし、ポストバックで返信を確認する必要があります。
本当に安全なアプリケーションを使用するには、別の方法で行う必要があります。おそらくユーザーやハッカーがコードを変更する可能性があるため、エンドユーザーはAppを信頼してはいけません。
だから私はすべての購入などをサーバーに保存することをお勧めします。私は今あなたのシステムについて多くはないので、私はあなたを大いに助けません。
ハッシュがサーバーによって生成されたすべてのアイテムについて、このハッシュがユーザーが実際にアイテムを購入したことを他のユーザーに表示できるようにするとよいでしょう。
このハッシュは、強くてユニークなものでなければならないことに注意してください。
私はあなたが私を理解し、私の答えはあなたが私は今、どのように私のシステムの仕事を教えてくれつもり
;-)を助けることができると思います。 ゲーム中にクレジットを得るには、私はそれらをロードするためにajaxリクエストを行います。 ajaxリクエストは、 "echo $ credits;"という単純なPHPページを呼び出します。だから、ハックするのは不可能だ。誰かがクライアント側のクレジットを変更した場合、彼らがギフトをリクエストしたときに、私はPHPでサーバ側のクレジットをチェックして、それらが正当なものであることを確かめます:P - あなたはmysql注入攻撃に対して脆弱であるかどうかを確認してください。あなたのクレジットシステムをハックする:D
あなたはフィドラーでコールを傍受し、あなたが望むものを返すことができます –
ウェブアプリケーションはあなたによって制御されますか?またはAPIですか?または両方?あなたのウェブアプリケーションが使用しているAPIにどのような影響を与えることができますか? – bdares
ありがとう、私はアプリやユーザーを信頼できないことを知っているが、私はまだ考えていなかった何らかの方法があることを期待していた。私はすべての反応に感謝します。それはクレジットの量が利用可能なコンテンツを決定するゲームなので、信用の信頼性を判断するためにはアプリを信頼する必要があります。私はいくつかの難読化を使用しようとすると、少なくともそれを可能な限り困難にする必要がありますいくつか持っている:)ありがとう! – nizzle