如何保护您的API不被滥用- DRF & React

Question

我真的很难理解保护ones端点的概念。

如果它暴露在反应中，你如何保护它不受虐待？

我知道如果一个用户要登录，然后发给他们一个令牌等等，我明白了。但是，假设有一个不需要有人登录的前端？

他们只需填写一个表单中的详细信息，然后通过您的API传递它，然后存储在DB中。

什么能阻止那些滥用你的API的人？他们只需要写一个脚本然后用垃圾数据攻击你的端点？

我只是不明白这是怎么被保护的？

Answer 1

您可以设置CORS标头，允许主机，也可以设置速率限制器来保护您在Django中的API。

允许的主机：--表示Django站点可以提供的主机/域名的字符串列表。这是防止header攻击的安全措施，即使在许多看似安全的web服务器配置下，这种攻击也是可能的。

CORS标头： Cross-Origin Resource Sharing (CORS)是一种基于header的机制，允许服务器指示浏览器应该允许加载资源的任何来源(域、方案或端口)。它用于处理浏览器客户端。

速率限制：速率限制是您希望在特定时间间隔内允许的最大呼叫数。例如，每个未经身份验证的用户每分钟只能执行100个请求。

而且，如果您在PaaS服务中部署应用程序，那么您可以将django应用程序部署为内部服务，将您的反应性应用程序部署为外部服务。这样Django不仅可以在容器内使用，而不是在容器外部使用。