我有一个简单的REST api端点,它将响应来自外部的请求。现在我想保护它。我只希望我的终点能够响应来自我的服务器(主机)的请求。
最简单的方法是什么?
我们可以信任HTTP_REFERER吗?
请帮忙。
提前致谢
答案 0 :(得分:0)
您可以使用.htaccess
<files api.php>
order deny,allow
deny from all
allow from 0.0.0.0 # Your Server IP
allow from 0.0.0.0 # Your Client IP
allow from 0.0.0.0 # Your Clients another IP
</files>
希望这个帮助
答案 1 :(得分:0)
我们可以信任HTTP_REFERER
吗?
没有。推荐人是由客户发送的,因此可以是任何东西,也不可信任。但是,您可以尝试针对允许的IP检查REMOTE_ADDR,或者如果您不为每个用户分配IP,则可以使用ie iptables设置防火墙,使用.htaccess使用正确的Allow/Deny条目或任何其他在流量到达API之前控制流量的软件。这将允许您将此功能与主API