假设您希望第三方网站复制并粘贴您提供的 javascript 代码的 sn-p。此代码使用 AJAX 请求访问服务器上的 JSON API。您将如何实现安全性,以便在将 API 使用与已注册并收到 API 密钥的网站相关联时,您将有效地禁止网站滥用另一个网站的 API 密钥/使用?这种安全性从客户端是不可能的吗?站点是否必须从服务器访问 API?
【问题讨论】:
标签: javascript ajax json security api
您可以只检查window.location 或其某些组件。
【讨论】:
window.location 的结果传递给我的服务器?
window.location。然后,问题是网站是否尝试直接进行 JSONP 调用。
window.location 检查。例如,使用 Google API 示例,在每次搜索调用时,使用脚本 if(isValidDomain()){callback();} 进行响应,但这会影响性能。
我能想到的实施这种安全性的唯一方法是使用 IP 地址,但这充其量是有风险的,因为它是一个糟糕的设计有很多原因。
这将是服务器端保护 javascript 文件的安全措施。您可以让 Web 服务提供 javascript,这样它就可以在将文件发送到客户端之前进行检查。
【讨论】:
您还可以在您的服务器站点上检查请求的 HTTP 引荐来源网址。
我不认为更改 javascript 代码可以伪造它。
但它不能阻止某人从自定义浏览器或某些 http 客户端发送自定义包。
实施服务器端解决方案是可能的,而且不会太难,但它会阻止许多网站使用您的脚本。
您可以让他们从他们的服务器发送请求
或者让他们将密钥保存在他们的服务器上,在将密钥发送到客户端之前对密钥进行哈希处理(哈希密钥在一段时间后更改)...
【讨论】: