en
new
Avatar
Tuấn Hưng Đỗ
Asked about 5 hours ago
Asked about 5 hours ago 6 0 1
  • 6 0 1
0

Cách bảo vệ /api path cho website

Bảo mật website
Share
  • 6 0 1

Hiện tại em có đang sử dụng docker và hosting server để chạy thử thì có phát hiện ra 1 lỗ hổng là khi client gõ tay /api/.... thì nó có thể access đến backend và trả về data của web do e có cấu hình nginx như sau

    location /api/ {
        rewrite ^/api(/[^/]+)$ $1/ break;
        rewrite ^/api/(.*)$ /$1 break;
        proxy_pass         http://backendserver/;
        proxy_set_header   Host              $host;
        proxy_set_header   X-Real-IP         $remote_addr;
        proxy_set_header   X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
    }

Bây giờ em muốn tìm cách mà chỉ FE access được đến và block với client. Mọi người cho em xin ý kiến về trường hợp này với ạ, và tiện cho em hỏi là bình thường có những cách nào thông dụng mà các web hay sử dụng để tránh client access BE.

Avatar
Tuấn Hưng Đỗ @Mei05
2 0 2 1
Add a comment

1 ANSWERS

Avatar
Tuấn Hưng Đỗ
Answered about 5 hours ago
Answered about 5 hours ago
0

À tiện cho em hỏi luôn là CORS có giúp chặn api trong trường hợp này không ạ, em có nghe 1 bạn bảo dùng cái này nhưng ko rõ làm kiểu gì ạ, em có thử qua vài kiểu origin thì nó vẫn ko chặn được ạ.

Share
Avatar
Tuấn Hưng Đỗ @Mei05
2 0 2 1
Add a comment
Viblo
Let's register a Viblo Account to get more interesting posts.
Register