将前端 (HTML,CSS,JS) 连接到后端 (Express)
Connecting the frontend (HTML,CSS,JS) to the backend (Express)
因此,在将网站的前端连接到后端部分时,我对一些事情感到困惑,而且我似乎无法在网上找到任何相关信息。
假设你有一个后端 API,如果你有一个删除用户的端点,因为如果他们想要删除他们的帐户,那么是什么阻止了攻击者仅仅 ping 端指向用户 ID 然后它会删除用户?我听说您可以使用密码或类似的东西来阻止虚假攻击,但是是什么阻止了某些人仅仅通过查看源代码来查找与请求一起发送的代码呢?您是否只使用难以猜测的用户 ID?但如果是这样,他们为什么不能暴力破解用户 ID?
后端是否应该 运行 与前端在同一个域中?您是否只需要使用 https://example.com:3000, or should you have to use the ip of the server and send data to https://000.000.000.00:3000?
如有任何帮助,我们将不胜感激。我对全栈开发了解不多,因为我才刚刚开始学习,但是人们所说的似乎是一种非常不安全的做法。
有一个 csrf 令牌 阻止未经授权的请求通过。
中的好例子
希望有用!
1 - 您可以使用由 User/Password 签名的 JWT 保护您的后端,以确保只有签名用户才能调用您的 API 后端,在您的服务器中,您可以使用 DDOS 服务和一个防火墙来避免这种攻击。
2 - 网站的 Backend/Frontend 可以在任何地方,无论是否与网络分离,在家用电脑或云服务中,您必须确保您的前端可以到达您的后端,无论它在哪里。当然,您可以在单个网络服务器中完成它,并且出于多种原因它会更好,例如部署过程、网站性能和安全性。
您随时可以在文档中了解更多信息。
因此,在将网站的前端连接到后端部分时,我对一些事情感到困惑,而且我似乎无法在网上找到任何相关信息。
假设你有一个后端 API,如果你有一个删除用户的端点,因为如果他们想要删除他们的帐户,那么是什么阻止了攻击者仅仅 ping 端指向用户 ID 然后它会删除用户?我听说您可以使用密码或类似的东西来阻止虚假攻击,但是是什么阻止了某些人仅仅通过查看源代码来查找与请求一起发送的代码呢?您是否只使用难以猜测的用户 ID?但如果是这样,他们为什么不能暴力破解用户 ID?
后端是否应该 运行 与前端在同一个域中?您是否只需要使用 https://example.com:3000, or should you have to use the ip of the server and send data to https://000.000.000.00:3000?
如有任何帮助,我们将不胜感激。我对全栈开发了解不多,因为我才刚刚开始学习,但是人们所说的似乎是一种非常不安全的做法。
有一个 csrf 令牌 阻止未经授权的请求通过。
中的好例子希望有用!
1 - 您可以使用由 User/Password 签名的 JWT 保护您的后端,以确保只有签名用户才能调用您的 API 后端,在您的服务器中,您可以使用 DDOS 服务和一个防火墙来避免这种攻击。
2 - 网站的 Backend/Frontend 可以在任何地方,无论是否与网络分离,在家用电脑或云服务中,您必须确保您的前端可以到达您的后端,无论它在哪里。当然,您可以在单个网络服务器中完成它,并且出于多种原因它会更好,例如部署过程、网站性能和安全性。
您随时可以在文档中了解更多信息。