0
我可以通过只允许访问IP为127.0.0.1的人来充分保护API资源吗?这当然假设API驻留的服务器受强密码和密钥文件的保护。我是否可以通过只允许来自本地主机的连接来充分保护管理门户?
A
回答
1
一些更多的情况下是有用的,因为@quinz评论,但这里有可能会影响你,即使攻击者不能在你的服务器上得到一个shell的一些常见的Web应用程序的问题:
- 一Server-Side Request Forgery攻击可以用来使服务器代表攻击者发出请求。这些请求将源自
localhost。根据特定的漏洞和管理API端点,这种攻击可用于泄露数据或发出状态变更请求。 - 假设管理员有时使用服务器上的浏览器(可能访问管理界面),则可以使用Cross-Site Request Forgery攻击向管理API发出状态更改请求。通常CSRF要求受害者登录到应用程序,但这不适用于此:他们只需要浏览
localhost的网站。 - 同样,Cross-Site Scripting攻击可用于强制管理员从
localhost浏览器向API服务发出请求。例如,假定有一个Web应用程序组件,而不仅仅是一个REST API。
相关问题
- 1. 仅允许来自本地机器的MySQL连接
- 2. SSH:只接受来自本地主机的密码连接
- 3. 只允许来自自定义客户端的连接
- 4. 允许从本地主机通过Squid访问本地主机
- 5. 如何通过Nginx Auth允许来自本地主机的呼叫?
- 6. .htaccess密码保护允许127.0.0.1,但不是本地主机
- 7. 是否可以使用GIT来管理客户端许可证?
- 8. 允许来自本地主机的SVN匿名读取访问
- 9. 允许来自本地主机的目录列表.htaccess
- 10. 是否可以通过ExternalInterface调用来允许FileReference.save()?
- 11. 如何保护webapp只能通过本地主机访问?
- 12. 主机不允许连接
- 13. 只允许来自主分支的'git push heroku master'
- 14. 只接受来自本地主机的获取/发布请求
- 15. 我的聊天客户端只连接到本地主机
- 16. mongoDB只允许来自特定IP的连接吗?
- 17. 是否有可能通过spring-security来保护包含的jsp?
- 18. Ajax - '访问控制 - 允许来源'不允许访问本地主机'
- 19. Apache2虚拟主机“允许来自”动态DNS主机名?
- 20. 本地主机访问控制 - 允许来源
- 21. PostgreSQL允许来自MAC地址的连接
- 22. 仅允许来自指定IP地址的传入连接
- 23. 网络刮板是否可以绕过好的油门保护?
- 24. 通过Apache代理连接到ssh主机时不允许的方法
- 25. AppDomainManager可以通过来自CLR主机的ProvideAssembly加载吗?
- 26. 通过代理连接到本地主机重定向
- 27. Firefox通过代理服务器连接本地主机
- 28. DQL是否允许可空连接?
- 29. 将通过Apache连接来自Node.js的外部JS允许我使用SSE“绕过”Apache代理?
- 30. 如何检查perl cgi请求是否来自本地主机
我认为这主要是基于意见的问题。 “充足的保护”取决于您的要求。 – quinz