Безопасность вложенных запросов Absinthe Graphql

Question

Безопасность вложенных запросов Absinthe Graphql

Я читал, что важно защитить ваши приложения с максимальной глубиной запроса. Это означает ограничить количество "уровней", которые имеет запрос. Пример очень глубокого запроса:

query IAmEvil {
  author(id: "abc") {
    posts {
      author {
        posts {
          author {
            posts {
              author {
                # that could go on as deep as the client wants!
              }
            }
          }
        }
      }
    }
  }
}

Как я могу узнать уровень глубины моего запроса? и в конечном итоге не допускаются запросы с глубиной более 4. Могу ли я получить полный запрос для подсчета глубины вручную? Или это уже реализация?

Эта проблема также описана здесь: https://www.howtographql.com/advanced/4-security/

2

graphql absinthe

Источник

user9942045 13 ноя '18 в 19:05

1 ответ

Другие вопросы по тегам graphql absinthe

user1949195 22 ноя '18 в 20:25 2018-11-22 20:25 · Answer 1 · 2018-11-22 20:25

Вы можете написать промежуточное программное обеспечение, чтобы проверить selection_depth и заблокировать его. Что-то вроде того:

@impl Absinthe.Middleware
def call(res, _config) do
  IO.inspect(selection_depth(res.definition.selections))
  res
end

def selection_depth([], depth), do: depth + 1
def selection_depth(selections, depth \\ 0),
  do: selections |> Enum.map(&selection_depth(&1.selections, depth + 1)) |> Enum.max()

user3701512 07 окт '19 в 13:36 2019-10-07 13:36 · Answer 2 · 2019-10-07 13:36

Один из способов справиться с этим - использовать функцию анализа сложности Absinthe. Вы можете объявить статическую сложность или функцию, которая будет использоваться для вычисления динамической сложности для каждого поля, и установить максимальную сложность.

Если запрос достигнет максимальной сложности, будет возвращена ошибка.

См. Официальную документацию для получения дополнительной информации: https://hexdocs.pm/absinthe/complexity-analysis.html