ドメイン名のみでアクセスできるAPI(PHP)を構築していますが、JSONPリクエストのオリジンを確認するにはどうすればよいですか?
また、実装できるセキュリティ層はありますか? (私は現在キーを使用していません*)
* =ユーザーには script タグのみを追加してもらいたいのですが、キーを挿入してめちゃくちゃになる必要はありません。
質問する
346 次
2 に答える
1
これを行うための安全な方法はありません。オリジンはスプーフィングされる可能性があります...
于 2012-07-10T12:37:29.273 に答える
1
あなたが得ようとしている最高のものは次のとおりです。
refererヘッダーがない場合、またはホワイトリストにあるドメインの URL に設定されている場合は、リクエストを受け入れます。
これにより、人々が HTTP サイトで API クライアント側を効果的に使用できなくなります。
一部の (比較的少数の) ユーザーはリファラーを無効にします。API を使用するすべてのサイトで API を使用できます (ただし、少数派であるため、ほとんどのサイトはこれに依存したくないでしょう。これは、大多数のユーザーにとって単純に壊れてしまうからです)。
HTTPS Web サイトの実行や API の使用を止めることはできませんが、ユーザーには安全なコンテンツと安全でないコンテンツが混在していることについて警告されるため、これも魅力的なオプションではありません。
これは、API サーバー側へのアクセスを阻止するものではありませんが、IP ベースのレート制限で対抗できます。
于 2012-07-10T12:43:52.937 に答える