我想知道是否有一个很好的解决方案来阻止自动表单提交/ POST攻击。
是否可以添加带有令牌生成的服务器端的表单字段,该表单字段对于站点上显示的每个表单都是唯一的,但是有一种方法可以检查此令牌是否确实是由我的应用程序生成的,而不是由用户生成的,无需将所有令牌保存到数据库中?
IMO,如果应用程序可以知道数据来自应用程序生成的表单(意味着它使用了应用程序已知的逻辑),那么它将继续处理表单。
是否建议使用此类算法?
编辑:换句话说,我可以生成一个字符串:
1)当我收到回来时,我可以识别为我生成的字符串,
2)知道它只被使用了一次,
3)会在用户端采取太多尝试来生成此类字符串,
4)该字符串不必由应用程序持久化