Как защитить данные через вкладку СЕТЬ?

Question

[Shitovoy]

Всем хай. Я на фронт получаю данные с бекэнда, и у меня во вкладке СЕТЬ в браузере есть прям ссылка на бекэнд и при переходе на нее, у меня отображаются все данные постов в формате json, даже ip пользователей есть. Как мне скрыть данные во вкладке СЕТЬ и как вообще защитить данные от других лиц? Можно ли как-то через .htaccess сделать на хостинге? Прошу не ругать, в этом деле новичок

Comments

[edward_freedom]

когда пользователь авторизуется на сайте, у него есть куки, ты по ним можешь выдавать информацию нужную

[Ivan Ustûžanin]

Как мне скрыть данные во вкладке СЕТЬ и как вообще защитить данные от других лиц?

никак, ибо всё, что пришло клиенту априори ему доступно

просто не стоит по апи отдавать нерелевантную информацию (как например ip-пользователей), которая в итоге не отображается
а если такое всё же нужно делать для, например, условного админа, то отдавать расширенные данные на основе прав доступа после авторизации

[Shitovoy]

edward_freedom, у меня нет на сайте регистрации и логина, у меня просто добавляется ip адрес юзера при создании поста и идет проверка, чтобы этот же юзер не создал новый пост ранее чем 3 часа. Вот в каждом посте в бд есть массив с ip юзера и timestamp. Я могу даже ссылки скинуть на бек, но думаю нельзя. Я когда на бек захожу, у меня во всю страницу json данные, я тоже думаю это нехорошо) но как защищаться от этого, тоже не знаю

[Shitovoy]

Я могу добавить в корень сайта .htaccess и вписать туда, чтобы на главную страницу бека мог зайти только я с опредленным ip или вообще запретить json? Но тогда как фронт будет этот json читать

[Сергей delphinpro]

Shitovoy,

Я когда на бек захожу, у меня во всю страницу json данные, я тоже думаю это нехорошо)

Это совершенно нормально. Вы зря паникуете.

[Shitovoy]

Я ip не передаю на фронт, он у меня просто в базе лежит, для проверки, а все посты из базы видно на главной бека. Если текущий ip адрес совпадает с тем который в базе, то я запрещаю создавать новый пост, пока не пройдет 3 часа.



Можно ли тут добавлять ссылки? я бы скинул свой бек. Или в мессенджер с кем-нибудь ушел.

Answer 1

[Daemon23RUS]

ссылка на бекэнд и при переходе на нее, у меня отображаются все данные постов в формате json, даже ip пользователей есть. Как мне скрыть...

У меня будут скорее вопросы, ответы на которые как раз и будут решением.
Бэк Ваш? Зачем пользователям получать IP других пользователей ?
В том что бэк отдает json ничего плохого нет, вопрос только в том какие именно данные нужны фронту, вот именно их и надо отдавать. Учитывая что мы никогда не доверяем клиенту, и проверяем все что он шлет (это к тому, что таймеру до след. сообщения на клиенте мы не доверяем), какие именно данные нужно отдать фронту?
В той конструкции, что Вы описали - никак, только переработать фронт и бэк.

Comments

[Shitovoy]

Бек мой. Просто любой юзер сможет увидеть адрес бека, зайти на него, и на главной странице будет json со всеми постами, а к каждому посту идет еще вложенный массив с такими данными: пол, возраст, ссылка на тг, и ip адрес. Я просто бы хотел, чтобы если посторонний кто-то заходит, хотя бы не показывать этот json на беке, чтобы инфу всю не читали

[Drno]

Shitovoy, в данной ситуации наверно проще всего - ограничьте доступ к бэку. Например внутри впн сети для фронта и бэка.

Ну или переделывать логику их общения

[Aetae]

Shitovoy, чтобы бэк не показывал какие-то данные - бэк не должен показывать эти данные. Твой К.О.
Всё что получает фронт - может получить кто угодно напрямую. Без вариантов. И решение только одно - отдавать фронту только то, что ему надо и ни байтом больше.
В твоём случае тебе надо усложнить логику бэка, фильтруя твою выдачу из баз и отдавая не все поля. Поле ip же использовать только внутри бэка для твоих проверок.
Просто какой-то магией .htaccess тут не отделаешься - надо править код твоего бэка.

[Daemon23RUS]

Shitovoy,

Бек мой. Просто любой юзер сможет увидеть адрес бека, зайти на него

Извините, что продолжаю вопросами. А зачем фронту получать от бэка json со всеми постами ?
Что будет когда постов наберется на 50-100-200 Мб, а на 1-2-10 Гб ?
2й вопрос пол, возраст, ссылка на тг, и ip адрес показываются на сайте ? если нет, то зачем их передавать фронту, тем более не авторизованным пользователям ?

[Daemon23RUS]

Drno, ... во вкладке СЕТЬ в браузере есть прям ссылка на бекэнд и при переходе на нее ...
Думаю, что при таком раскладе внутренний ВПН и ограничения не спасут, у ТС видимо JS из браузера посетителя щимится на "бэк"

[Shitovoy]

Я ip не передаю на фронт, он у меня просто в базе лежит, для проверки, а все посты из базы видно на главной бека. Если текущий ip адрес совпадает с тем который в базе, то я запрещаю создавать новый пост, пока не пройдет 3 часа.

[Daemon23RUS]

Shitovoy, Вы либо что то делаете явно не так, либо объясняете не верно, вот же на скрине:

картинка

Во первых почему бэк отвечает на главной всей базой, если Вы что то показываете на фронте, то что надо получить от бэка, то бэк именно это и должен отдавать, все, точка не байтом больше!

[Shitovoy]

Daemon23RUS, ну потому что при заходе на главную страницу у меня загружаются на главную все посты, поэтому так. Через vue js и axios при монтировании компонента я получаются все 6 постов на главную страницу. Можно как-то с вами связаться в мессенджерах, если вы не против?

[Maksim Herasim]

Shitovoy, когда фронт обращается к бэку - бэк отдает json всех постов или только 6 ? если всех постов - это первая проблема.
Смысл сообщений выше заключается в следующем - когда посетитель заходит на сайт, какую информацию он видит? Судя по структуре JSON я вижу такое -
id,title,desc,price,address,date,phone,img,img2,reason,link,details
в details у вас массив с служебной информацией: age , sex, tg, ip, timestamp, _id
Какая информация у вас выводится на сайте и какую информацию должен увидеть посетитель сайта? Я так понимаю всё кроме details. Значит вам и нужно сделать так, чтобы backend у вас отдавал данные кроме details, как это сделать - другой вопрос. С другой стороны, Вы говорите о проверке в задержке на 3 часа, чтобы ограничить пользователей в постинге. Эта проверка на какой стороне происходит ? На стороне фронта или бэка? Если на стороне фронта, тогда это не правильно и нужно переделывать на сторону бэка.
Общий смысл тут в том, чтобы в json были только те данные - которые отображаются на сайте, если к примеру reason - не выводится на сайте, вам нужно сделать так, чтобы бэк формировал json без этой информации.
Второй момент, подметили верно. Сколько одновременно постов у вас выводится на странице? Не думаю что более 20. Значит вам нужно сделать порционную загрузку. Условно - человек зашел на сайт, у него загружаются json из 20 объектов, если человек прокрутил страницу вниз и нажал кнопку загрузить еще, скрипт обращается к бэку и подгружает следующую порцию из 20 объектов.

[Shitovoy]

Maksim Herasim, так у меня всего 6 постов в базе. Все данные можно видеть, кроме ip. Я спросил у нейросетей и он мне посоветовал с mongoose с помощью protect или project убрать в выдаче поле ip, вроде как больше не показывается.

[Maksim Herasim]

Shitovoy, если используете БД, вам собственно и достаточно было в SELECT указать выборку полей, которые нужны )
Но вопрос в том, где обрабатывается ограничения для ip, если на фронте - тогда поломаете его работу

[Daemon23RUS]

Shitovoy, Я не против связаться, но это Вам на фриланс, чем хорош тостер, я могу уделить немного времени на написание ответа, и далее заниматься своей работой, а вернутся через сутки или более (как в этом случае). Коллеги дополнят ответ, обсудят, опровергнут или подтвердят. Ответ, обсуждение и способы решения останутся для других, кто столкнется с подобной проблемой Как в этом примере. И я согласен с коллегами, все Вам верно расписали.

Answer 2

[Станислав]

Используйте DTO, гуглите прям так "dtos node.js"
Очень удобная штука, при выборке данных из базы получаете все данный, а после перевариваете их в DTO, на выходе получите только необходимые данные.

А то что вы хотите, скрыть не вариант, можно конечно костыли делать, что то вроде проверять от куда пришел запрос на получение данных, можно еще конечно извратиться и делать запросы с JWT токеном, который действует секунд 10. Но все это не поможет, тем кто захочет увидеть структуру JSON, увидит в любом случае.

Поэтому делайте с помощью DTO структуру данных и отдавайте ее пользователю.