Al final del día, estás entrando en una guerra fría: si alguien quiere obtener acceso a estos datos y terminará en un sitio web público, encontrará la manera de obtenerlos. Dicho esto, hay muchas maneras de restringir el acceso:
- Apache mod_security (antiguo blog ModSecurity y nuevo blog SpiderLabs):
- Agente de usuario: ¿es un agente de usuario extraño? Si es así, puede filtrar las solicitudes de este agente de usuario
- Límites de solicitud: puede limitar la cantidad de solicitudes que puede hacer una determinada IP en un determinado período de tiempo
- Bloqueo de geolocalización: esto puede ser bastante peligroso y requiere un trabajo adicional más allá de mod_security (como una búsqueda en la base de datos de geo IP), pero si desea bloquear un país entero, esto funcionará de manera bastante efectiva
- Protección CSRF
- Estos tokens generalmente se generan para formularios para garantizar que la solicitud provenga de una página que realmente se generó, puede hacer lo mismo para cualquier información que sea, pero eso no impedirá que un atacante vuelva a cargar la página para generar un nuevo token usando el mismo script