因此,我对将前端连接到网站后端感到困惑,而且我似乎在网上找不到任何关于它的信息。
-
假设您有一个后端API,如果您有一条删除用户的端点,如果他们希望删除他们的帐户,那么是什么阻止攻击者使用用户ID ping端点,然后删除用户?我听说你可以使用类似密码或类似的东西来阻止虚假攻击,但什么能阻止某人只查看源代码来找到与请求一起发送的代码?你只是使用了一个很难猜测的用户ID吗?但如果是这样的话,为什么他们不能仅仅使用暴力的用户ID呢?
-
后端是否应该与前端在同一个域上运行?你应该只使用https://example.com:3000,或者您应该使用服务器的ip并将数据发送到https://000.000.000.00:3000?
如有任何帮助,我们将不胜感激。我对全栈开发不太了解,因为我现在才刚刚开始学习,然而人们所说的似乎是一种非常不安全的方式
1-您可以使用由用户/密码签名的JWT来保护后端的安全,以确保只有签名的用户调用您的API backend,在您的服务器中,您可以使用DDOS和防火墙服务来避免这种攻击。
2-网站的后端/前端可以是网络中的任何位置,无论是否分离,在家用计算机或云服务中,您必须确保您的前端可以到达后端。当然,您可以在单个web服务器中完成,出于许多原因,如部署过程、网站性能和安全性,它会更好。
你总是可以在文档中学到更多。
https://laravel.com/docs/9.x/csrf
有一个csrf令牌阻止未经授权的请求通过。
Laravel文档中的一个好例子
我希望它有用!