Цікава ідея. Прикольно що описали методи захисту. Теоретично можна навіть окрему статтю потім про це. Щоб народ знав як зробити хоча б «базовий мінімум» захисту.
Потрібно ще зробити захист беку. curl —location ’https://unil.ink/api/virtual-mer/filatov-chat’ —header ’Content-Type: application/json’ \ —data ’{ «message»: «Що там з новин?», «history»: [ { «role»: «assistant», «content»: «Вітаю. Я — Філатов. Колишній мер Дніпра. Якщо ви прийшли скаржитись — стійте в чергу. Якщо подякувати — проходьте.» } ], «images»: [], «turnstileToken»: null }’ - тому що весь бек голий.І атака йде через запити на апі.Привязку потрібно робити на дані які на стороні серверу(сесія, кеш і т.д.)Умовно юзер зайшов — запит на бек — бек по набору даних(браузер іп розмір екрану ) - генерую унікальний відбиток, сейвимо відбиток у тимчасове сховище, прокидуємо на фронт і перекидуємо в кожен запит.Беком звіряємо.Або є авторизацію.Тому що CORS — це чисто браузер. ну і Server-issued challenge / nonce
13 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарівДайте вгадаю, пост почистили, бо почались прямі погрози від можновладців?
А пост хто почистив?
Автор сам відкоригував свою публікацію
Коментар порушує правила спільноти і видалений модераторами.
Коментар порушує правила спільноти і видалений модераторами.
Реквестую Садового
Додай капчу
Мер хотів замовити пісюн собі, а замовив вам — про людей думає.
Прикра ситуація, коли містами керують мери-бандюгани з90-х.
Ваш проєкт цікавий та корисний, бажаю сил підтримувати його й надалі, щоб Філатову пісюни теж позамовляли оптом.
Цікава ідея. Прикольно що описали методи захисту. Теоретично можна навіть окрему статтю потім про це. Щоб народ знав як зробити хоча б «базовий мінімум» захисту.
Ну і фінал статті — дуже неочікуваний)))
Та чому неочікуваний? У представників влади якась фіксація на пісюнах
«Сервер впав», доколє?
вже працює
Дякую!
Потрібно ще зробити захист беку.
curl —location ’https://unil.ink/api/virtual-mer/filatov-chat’ —header ’Content-Type: application/json’ \
—data ’{
«message»: «Що там з новин?»,
«history»: [
{
«role»: «assistant»,
«content»: «Вітаю. Я — Філатов. Колишній мер Дніпра. Якщо ви прийшли скаржитись — стійте в чергу. Якщо подякувати — проходьте.»
}
],
«images»: [],
«turnstileToken»: null
}’ - тому що весь бек голий.І атака йде через запити на апі.Привязку потрібно робити на дані які на стороні серверу(сесія, кеш і т.д.)Умовно юзер зайшов — запит на бек — бек по набору даних(браузер іп розмір екрану ) - генерую унікальний відбиток, сейвимо відбиток у тимчасове сховище, прокидуємо на фронт і перекидуємо в кожен запит.Беком звіряємо.Або є авторизацію.Тому що CORS — це чисто браузер. ну і Server-issued challenge / nonce
Але цікавий проект — Дякую.