我需要创建一个提供javascript小部件和ajax调用的web服务,这些调用仅在某些域上运行。经过大量的研究,我只想出了HTTP-Referer和API Key的组合,这很容易打破像RefControl这样的工具,或者我错过了什么? 是否有更安全的解决方案来解决这个问题?
答案 0 :(得分:0)
REFERER和API密钥确实是唯一的方法,因为它是用户的浏览器发出请求而不是服务器。
您不需要像RefControl这样的工具,但是:那些会允许单个用户向您的小部件发出不需要的请求,但它不会让运行网站的人能够使用小部件。