0

サーバー側のセキュリティは私の得意分野ではありません。基本的には、ユーザーがサインアップ時に指定したドメインでのみ (SDK 経由で) 使用できるサービスを構築しています。

SDK は、PHP で cURL を介して Web サービスを呼び出します。

呼び出し元ドメインを確実に検出できない、つまり、サインアップ時に指定したドメインと同じドメインであることを強制できないと考えるのは正しいでしょうか?

もちろん、cURL はこれをヘッダー経由で送信しますが、ヘッダーは常に (?) 偽装できます。

この種のことに対してドメインを強制するためのより良い行動方針はありますか?

(注: 私も既に API キーを使用しています。ドメインも制限したかっただけです)

前もって感謝します

4

1 に答える 1

1

cURL 呼び出しから得られるのは、REMOTE_ADDR環境変数のリモート IP だけです。

私の知る限り、意味のある偽造は非常に困難です(つまり、呼び出し元が実際にデータを受信したい場合)。

したがって、顧客をIPに制限して生活できる場合は、その変数をチェックすることでかなり安全になるはずです.

ただし、もちろん、データを使用するドメインを制御することはできません. これは合理的に不可能です。1 つの IP を複数のドメインに使用できます。

ただし、ドメイン名をその IP に解決して、REMOTE_ADDR取得したものと比較することはできます。

全体として、これは良い考えではないと思います。上記の私のコメントを参照してください。

于 2012-10-20T10:54:25.230 に答える