Защита ajax от имитации?

Question

[Scbjkllkgfggghj]

У меня при входе на сайт идёт Аякс с уведомлением в тг, это необходимо мне так как сайтом пользуются всего пару человек. Но кто-то зашёл на сайт вытащил этот запрос и начал его эмитировать и спамить.

Добавил crsf токен, но он и его начал вытаскивать. Как защититься от такого?

Comments

[Анатолий Куликов]

А можно полную инструкцию того, что должно происходить и при каких условиях? Иначе просто гадание на кофейной гуще получается.

Answer 1

[Алексей Ярков]

Авторизацию добавьте на сайт, чтобы понимать кто шлёт запрос и реагировать соответствующе.

Comments

[Scbjkllkgfggghj]

А есть ли вариант без авторизации, сайт не предусматривает авторизацию?

[Ипатьев]

Scbjkllkgfggghj, "нету ножек - нет и варенья"

[Алексей Ярков]

Scbjkllkgfggghj,

А есть ли вариант без авторизации

Ну а сами как думаете? Как отличать людей, которые зашли на сайт?

[rPman]

Как отличать людей, которые зашли на сайт?

добавлю что если нагуглится фингерпринтинг, то он не подойдет, тот кто сумел реверсить сайт, сумеет и обойти его.

качественный фингерпринтинг, достаточный для аутентификации могут делать крупные баннерные сети (у которых свой аналитический 'пиксел' на большом количестве сайтов) или такие компании как гугл/яндекс

[Алексей Ярков]

rPman,

если нагуглится фингерпринтинг

Специально не стал человека смущать ))

[calculator212]

Scbjkllkgfggghj, можно еще ограничение на число запросов ввести

Answer 2

[zkrvndm]

Уведомления должен посылать PHP скрипт, тогда вопрос отправки спама упирается лишь в вопрос валидации запросов от браузера к PHP скрипту.

Я бы сам как сделал... никаких токенов не применял бы, а использовал бы в качестве секрета сам порядок свойств в теле запроса, который меняется в зависимости от времени. При том чтобы это не очевидно было, давать успешный ответ как на валидные, так и не на валидные запросы. Сам JS код пропустить через обфускатор, ленивый злоумышленник не будет ничего распутывать, когда структура запроса в консоли очевидная и не содержит никаких непонятных моментов.

Comments

[Ипатьев]

"Уведомления должен посылать PHP скрипт" - это, как бы, очевидно. Светить ключ от телеги на клиенте даже совсем дебил не будет.

"порядок тел в свойстве запроса с обфускацией" - это какой-то детский лепет. Вы явно никогда с такой задачей не сталкивались, а сейчас высосали эти рекомендации из пальца. Обойти эту "защиту" в 10 раз быстрее, чем сделать. Причем она еще и глючить будет неимоверно, "в зависимости от времени".

[zkrvndm]

Ипатьев, я не спорю, что обойти очень легко, но чтобы это сделать надо в принципе знать, что она есть. Никто не будет распутывать обфусцированный js код когда сервер отвечает успехом всегда, а структура запроса очевидна. Обычное вот такие тупые и дебильные защиты хорошо работают. По поводу времени... так и не надо брать время с компа клиента, брать время сервера как опору при вычислениях порядка аргументов.

[Дмитрий]

Да никто парится не будет с разбором. headless браузер и он сам все сделает.

[zkrvndm]

Дмитрий, ну так против headless ничего не поможет, в принципе. От такого невозможно защитится, если у злоумышлиника есть деньги на прокси и есть ресурсы для запуска ручных браузеров.

Здесь разве какую-то систему аунтефикации прикручивать, например, по номеру телефона или через профили в соц. сетях. И то даже это не защита, было бы желание и это обходится.

[Дмитрий]

zkrvndm, да вообще ничего не поможет.