是否可以设置或修改" origin" https请求中的标头?

时间:2014-09-18 06:08:17

标签: html security cross-domain hmacsha1

我正在构建一个使用iframe嵌入第三方网站的网页。启动通信不需要登录服务,因此我无法管理任何会话令牌。

因此,我计划验证https请求的origin标头,以检查请求是否来自预期的来源。这个外部网站不在我的控制之下,但我可以要求他们做一些改变以实现安全的沟通。

我有两个问题:

  1. 是否可以在https请求中恶意设置或修改“origin”标头?或者它总是由浏览器本身设置?

  2. 因为我不太确定origin标头提供的安全级别,所以我也计划使用HMAC-SHA256。外部站点应为每个请求生成唯一编号,并使用密钥对其进行签名。

  3. 所以,如果我实施上述两件事,还有什么我应该担心的吗?

0 个答案:

没有答案