트위터와 같은 PHP 사이트에 다음 시스템이 있습니다. 다른 사용자를 추적하려면 사용자는 따라야하는 사용자의 프로필에서 관심 사용자 버튼을 클릭합니다.다음 시스템에서 수동 POST 요청 방지
그런 다음 원하는 사용자 ID로 ajax 게시물 요청을 보냅니다.
내가 브라우저 콘솔에서이를 작성하여 모두 다음 사용자가 스팸 메일을 방지하는 방법을 해결하려고 노력 해요 :
for(var i = 0; i<10000000; i++){
followUser(i) // followUser is the ajax request
}
내 제안 된 솔루션입니다 :
는각 단일 사용 토큰을 추가 CSRF/이중 제출 보호와 같이 세션에 저장된 토큰에 대해 요청하고 확인합니다.
해당 솔루션에 문제가 있습니까? 익명 JavaScript 함수를 사용하여 보았지만 클라이언트가 아닌 서버 측에서 이러한 사항을 방지하는 것이 더 안전하다고 보입니다.
이렇게 추측 할 수없는 숨겨진 사용자 ID도 구현할 수 있습니다. 그것 이외에, 1 회용 토큰도 제 생각입니다. (여전히 더 많은 노력으로 스패밍 할 수 있습니다.) – ToBe