我正在构建一个使用iframe嵌入第三方网站的网页。启动通信不需要登录服务,因此我无法管理任何会话令牌。
因此,我计划验证https请求的origin标头,以检查请求是否来自预期的来源。这个外部网站不在我的控制之下,但我可以要求他们做一些改变以实现安全的沟通。
我有两个问题:
是否可以在https请求中恶意设置或修改“origin”标头?或者它总是由浏览器本身设置?
因为我不太确定origin标头提供的安全级别,所以我也计划使用HMAC-SHA256。外部站点应为每个请求生成唯一编号,并使用密钥对其进行签名。
所以,如果我实施上述两件事,还有什么我应该担心的吗?