Tenemos un formulario que, una vez enviado, transmitirá sus datos como XML a un servicio web público. Me preocupa que esa URL se esté manipulando directamente para publicar entradas falsas en nuestro sistema, omitiendo por completo el formulario. El formulario en sí ya está a través de una conexión HTTPS. Creo que estamos usando jabón. ¿Qué podemos hacer para asegurar el formulario / servicio?
HTTPS solo evitará que las personas vean los datos en ruta al servicio web. No proporciona ningún método para autorizar una solicitud. Deberá implementar alguna autorización / autenticación en el servicio web para asegurarse de que las personas que publican los datos sean las que deben estar publicando los datos.
Debe validar la entrada del usuario tanto en el lado del cliente como en el servidor.
Entonces, si tiene un formulario en el lado del cliente que verifica para asegurarse de que la entrada del usuario tenga menos de 10 caracteres. El bot puede simplemente pasar por alto haciendo una solicitud a su servicio web sin su cliente. Así que necesitas validar en el lado del servidor.
Por ejemplo:
si tiene una ruta en su servicio web:
route.post('api/signup/', function(req,res){
//Where the user data is stored in req.body
var userInput = req.body;
if(userInput.length < 10){
//write to database
} else {
//Don't write to database and return error message
}
}
De esta manera, si un bot decide omitir las restricciones del lado del cliente, todavía está verificando las restricciones en el lado del servicio web
Lea otras preguntas en las etiquetas web-service