ruby-on-rails - 如何避免 OTP 验证的响应操作
问题描述
我有 OTP 验证功能和前端(React JS)正在向后端(rails)发送请求,并且根据响应我在前端将移动验证设置为真或假。
成功响应:
HTTP/1.1 200 OK
{"success":true}
无法处理的实体响应:
HTTP/1.1 422 Unprocessable Entity
{"success":false}
当用户获得无法处理的实体时,用户正在使用 Burp Suite 更改响应并将修改后的响应发送到前端
HTTP/1.1 200 OK
{"success":true}
前端具有仅在收到响应时设置移动验证的逻辑。
考虑添加 OTP 作为响应并在前端验证它,但用户也可以存根。
我怎样才能避免这种情况?
解决方案
您必须使用 TLS (HTTPS) 保护通道,因此第三方无法在您不知情的情况下更改数据。您可以实施的所有其他保护手段都是与此相关的次要保护手段。
推荐阅读
- node.js - 我正在使用 jwt(expiresIn 24h) 向用户发送重置密码链接。有什么方法可以使令牌在使用后失效?
- google-apps-script - Google 附加卡:如何将颜色应用于标题文本
- javascript - Chrome 扩展 - 来自主 JS 的监视变量
- sql - 在这种复杂情况下,如何解决 Django 缺少组合键的问题?
- javascript - 停用平滑滚动元素
- python - 使用 make_instance 时 ClipsPy 中出现剪辑空错误
- python - 查找两个范围之间的相交集
- assembly - 我在 x86 中收到我不理解的分段错误
- type-conversion - 转换为字符串 Powershell 问题
- java - 由于类路径问题导致的 Intellij 编译错误