我有api端点,但我希望它只能从某个网站访问。
api来自api.mydomain.com/v1/
只能访问该API的网站是mydomain.com。我已经实现了CORS,但由于我的网站可以公开访问,不需要登录,也是静态的,api是由ajax调用的,我没有添加令牌。如果用户将查看源我的站点,他们将看到api端点。因此,如果他们浏览端点,他们可以直接访问数据。我希望url端点可以通过我的域访问,而不是直接访问它。我怎么能在node.js表达项目中做到这一点?
答案 0 :(得分:0)
看起来您需要添加某种CSRF保护,其中mydomain.com网页仅发出的所有api请求都将包含一些安全令牌(您或您正在使用的框架应提供此安全令牌的实现)这SO Post可能有助于进一步提升