サーバー側のセキュリティは私の得意分野ではありません。基本的には、ユーザーがサインアップ時に指定したドメインでのみ (SDK 経由で) 使用できるサービスを構築しています。
SDK は、PHP で cURL を介して Web サービスを呼び出します。
呼び出し元ドメインを確実に検出できない、つまり、サインアップ時に指定したドメインと同じドメインであることを強制できないと考えるのは正しいでしょうか?
もちろん、cURL はこれをヘッダー経由で送信しますが、ヘッダーは常に (?) 偽装できます。
この種のことに対してドメインを強制するためのより良い行動方針はありますか?
(注: 私も既に API キーを使用しています。ドメインも制限したかっただけです)
前もって感謝します