使用referrer-url将web Api调用限制为特定网站是一种很好的架构实践
这种方法会有任何安全方面的缺点,请指导最佳实践(如果有的话)(我们不使用Asp.net身份,这是完全自定义身份验证)
答案 0 :(得分:0)
要求特定的HTTP Referer标头不是安全措施,这是一项默默无闻的措施。任何知道或拦截此标题的客户都可以调用您的API,唯一的区别是现在稍微更难以构建工作请求。
这是否足够强大的安全措施取决于您的应用程序要求。如果您通过WebApi重新传输已经公开的信息,那么可能需要考虑(以及HTTPS)以避免对您的API的DOS攻击。如果您接受用户个人信息,付款信息或银行转帐,您显然需要额外的安全措施。