We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
你好,我认为应该保留一个选项,以确保意思爆破的随机试用密码不被发现。
比如如果密码错误了,是个 200 的响应:{ "message": "密码不对" } 而爆破是 423 的响应:{ "message": "尝试次数太多" }
那么如果我是攻击者,发现响应是尝试次数太多,我可以更换 IP,并修改请求头的关键信息(包括但不限于 UserAgent Cookie 等),避免被识别,从而再次扫。
我更加建议保持他们两个的响应内容一致,或者是留个开关,以确保网站的管理者能够决定这个选项。
实际上,我写的后端通常就是我说的这种模式。
当然,我更加推荐提供一个带有强行绑定中国手机号的登录功能,以确保如果是中国的站长可以符合中国的网络审查。
另外,我熟悉 Go、PHP,并不熟悉 Python,对于这个项目我无法提供帮助。
但是我希望可以提供前端的帮助,我更熟悉 Vue & Element。
如有需要,可以将我加入 Contributions,我可以为该项目修改一下前端的页面。
The text was updated successfully, but these errors were encountered:
Sorry, something went wrong.
No branches or pull requests
你好,我认为应该保留一个选项,以确保意思爆破的随机试用密码不被发现。
比如如果密码错误了,是个 200 的响应:{ "message": "密码不对" }
而爆破是 423 的响应:{ "message": "尝试次数太多" }
那么如果我是攻击者,发现响应是尝试次数太多,我可以更换 IP,并修改请求头的关键信息(包括但不限于 UserAgent Cookie 等),避免被识别,从而再次扫。
我更加建议保持他们两个的响应内容一致,或者是留个开关,以确保网站的管理者能够决定这个选项。
实际上,我写的后端通常就是我说的这种模式。
当然,我更加推荐提供一个带有强行绑定中国手机号的登录功能,以确保如果是中国的站长可以符合中国的网络审查。
另外,我熟悉 Go、PHP,并不熟悉 Python,对于这个项目我无法提供帮助。
但是我希望可以提供前端的帮助,我更熟悉 Vue & Element。
如有需要,可以将我加入 Contributions,我可以为该项目修改一下前端的页面。
The text was updated successfully, but these errors were encountered: