【问题标题】:Using REST services directly from the browser via Javascript [closed]通过Javascript直接从浏览器使用REST服务[关闭]
【发布时间】:2013-05-10 11:09:28
【问题描述】:

通过 Javascript (JQuery) 在 HTML 页面中使用 Web 服务的优缺点是什么?

Browser (JS) -> Backend (REST)

Browser (JS) -> MVC backend -> Web services backend (REST)

在第一种情况下处理身份验证的最佳做法是什么?

【问题讨论】:

    标签: web-services rest authentication architecture


    【解决方案1】:

    Web 浏览器只允许页面向该页面所源自的域发出 AJAX 查询。这可以防止跨站点脚本,这是一种令人讨厌的攻击方法。

    如果控制域,AJAX 非常有用。

    如果您不控制域,您应该设置一个服务器来请求数据并将其提供(在页面加载时,或通过 AJAX)到所需的子页面。

    【讨论】:

    • 如果后端服务器不支持 CORS,则为 true。如果是这样,则浏览器可以向托管在托管 Web 应用程序的服务器之外的某个地方的服务器发出请求。并不是说让 CORS 一直工作特别容易......
    【解决方案2】:

    如果图片中有身份验证,我实际上建议不要使用浏览器进行后端调用。即使您的后端支持 CORS,您也必须在其之上添加 API 安全性(类似于 OAUth)以进行用户身份验证并在客户端上管理所有这些(错误处理、欺骗等)。如果您只是从中间层应用程序进行调用会更容易。

    【讨论】:

      猜你喜欢
      • 2012-05-28
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-10-24
      • 1970-01-01
      • 2011-12-07
      • 2013-01-14
      相关资源
      最近更新 更多