所以我创建了一个注册页面,它会自动检查您输入的用户名、电子邮件地址和电话是否已经存在。如果其中任何一个已经注册到帐户,那么当您单击输入字段之外时,您会在同一页面中收到一条通知,说明它已经注册,您应该输入不同的值。
现在我担心的是,有人可能会编写一个脚本,将暴力破解值写入这些字段并记录输入的数据是否已注册。这样他们就可以获得所有注册用户名、电话和电子邮件的列表。
这是值得关心和应该防止的事情吗?我可以实现每个 IP 只允许 10-20 个输入验证检查的东西。值得付出这样的努力吗?泄露所有注册用户名的列表是否被视为漏洞和/或不良做法?
如果您认为我应该阻止这种情况,您认为最好的方法是什么?
最佳答案
您可以使用以下方法来防止注册页面的暴力破解,
<小时/>- 使用验证码,例如首选 recaptcha
- 使用通用消息,例如“如果尚未在应用程序中注册,您将在 {email_id} 上收到电子邮件”。但是,正如您提到的,您想要验证用户名、电子邮件 ID 和电话号码。在这种情况下,您可以询问通过 OTP 验证电子邮件 ID 或电话号码,一旦用户验证电子邮件 ID 或电话号码(或根据您的应用程序上下文两者),您可以提供选择用户名的选项。但是,恶意用户仍然可以在此处对用户名进行暴力破解,但您可以在这种情况下使用经过验证的电话号码/电子邮件 ID 设置限制。
关于javascript - 注册自动输入验证安全/隐私问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38129253/