绕过DRF节流

Question

我有一个Django应用程序运行在一个Nginx + Gunicorn服务器上，在这里我使用DRF节流。每当我向服务器发出API请求并更改客户端中的X转发标头值时，我就能够绕过未经身份验证的用户的节流，从而不受限制地访问API。当然，这是不可取的。

我认为处理这个问题的一种方法是让Nginx将真正的IP附加到X转发的末尾--在使用代理params到达服务器之前，用于请求头。当我检查Postman / RapidApi客户端时，它似乎没有改变标题。我认为这是导致错误的原因，但最终我不知道。

Nginx conf:

location / {
    include proxy_params;
    proxy_pass http://unix:/run/gunicorn.sock;
}

来自Nginx的proxy_params文件包括设置X转发的请求头，如下所示：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

有人能告诉我我做错了什么，以及如何修复它，这样你就不能发出无限的API请求了吗？如果您需要更多的信息或澄清，请告诉我。

Answer 1

DRF节流并不是缓解DDOS攻击的可靠解决方案。在野外有一些已知的可以绕过DRF节流的漏洞：

1. 安全漏洞:旁路节流
2. 基于源ip地址的旁路节流
3. 实现Django-rest节流和未经验证的旁路

强烈建议使用其他第三方解决方案来缓解DDOS和蛮力。

您可以自定义DRF节流以修补上述漏洞。，但请记住，这不是安全解决方案！

DRF节流使用X-Forwarded-For header生成一个键来限制访问。正如官方文件中所描述的，定制是通过继承throttling.BaseThrottle来实现的。

class RandomRateThrottle(throttling.BaseThrottle):
    def allow_request(self, request, view) -> bool:
        # Your custom logic here...

请求头在allow_request()中是可用的，您可以使用其他字段(比如用户代理)来检查请求发起人的唯一性。你也可以增加一点随机性。

检查这里以获得header字段列表。

注意：allow_request()应该返回一个布尔值。

注意:只检查您提到的漏洞的其他字段修补程序，它只是比缺省值更好。