在我的注册表格中,我发出了一个ajax调用来检查用户名是否可用。
但是,我担心这会打开系统以检查有效用户名的机器人。
如何通过外部呼叫保护服务?
由于
答案 0 :(得分:5)
如何通过外部呼叫保护服务?
嗯......任何试图注册的用户都是“外部呼叫”!
我不知道用户名检查会如何构成安全风险。机器人可以注册为fsdjiojiejfio并且非常确定之前没有人接受过。
我宁愿花时间确保注册过程,以便机器人无法注册,即使使用有效的用户名。
答案 1 :(得分:1)
我认为你担心的是“这个用户名是否可用?”检查将允许有恶意的人只需要猜测密码登录,而不必猜测用户名。我认为这是一个有效的问题,虽然我不确定我会过分担心它。
我认为解决此问题的唯一安全方法是在进入注册页面之前要求使用验证码。