我正在创建类似intercom.io和mixpanel的东西。用户访问网站 - 管理员可以在其中插入js片段 - js通过ajax调用服务器并记录访问或其他形式的数据。
到目前为止,我很容易确保请求来自网站,因此管理员必须包含一个唯一的公钥。但它在网站上当然不安全。我通过cookie和标题阅读了有关csrf保护的内容,但为此用户必须启用cookie。如果用户没有启用Cookie,则跟踪将无效,但我不会强制跟踪,例如接受do-not-track标题等。
那么我怎样才能确保请求来自我的异步加载脚本而不是一些没有cookie的虚假引用的命令行?
答案 0 :(得分:1)
使用JWT(JSON Web令牌)进行请求授权。