问题描述
在使用带有 angular 和节点后端的 Google 身份工具包时,我偶然发现了以下问题。有密码重置功能来重置用户密码,请求直接从客户端发送到谷歌 API。但是,未经身份验证的攻击者可以枚举我客户的电子邮件地址。
POST /identitytoolkit/v3/relyingparty/getoobConfirmationCode
...
{
"requestType":"PASSWORD_RESET","email":"peter@smith.de","continueUrl":"https://redacted.com/index","canHandleCodeInApp":true
}
如果电子邮件存在,API 会回复 HTTP 200 OK,如果电子邮件不存在,回复 HTTP 400。我该如何缓解这个问题?我希望 API 的响应始终相同。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)