我在Eclipse中开发了一个JSP webapp作为动态Web项目。
我们使用调用我的应用程序的第三方Web应用程序,我需要验证只允许来自该应用程序的请求在我的应用程序中创建新会话。
我想用javascript做这件事,并且想作为最后一个资源,使用Filter类来了解请求源并定义行为。
问题是用户要求操作是在客户端完成的,这意味着我必须使用javascript或类似的,我在JS上读过有关document.referrer的内容,但到目前为止控制台上没有显示任何内容。 / p>
答案 0 :(得分:1)
您在客户端使用JS处理会话所做的任何事情都不安全,因为它可以被恶意用户轻松修改。此外,使用referer或任何其他http标头参数将是不安全的,因为它们也可以很容易欺骗。
如果此第三方应用程序直接调用您的应用程序,我想您可以对其进行一定程度的控制。您可以访问和修改其源代码,还是只使用配置参数?
理想情况下,第三方应用程序会在对应用程序发出的每个请求上使用身份验证令牌。这些身份验证请求以及所有会话处理逻辑总是在服务器端处理。