我必须为使用jQuery ajax调用的网站实现内部API。它返回JSON上的数据。
捕获:它应该仅在从同一网站调用数据时抛出数据。我假设IP不起作用,因为它是在客户端使用javascript调用的。
例如,如果有人试图从另一个域调用json url,它应该抛出一条错误消息。
有什么想法吗?
答案 0 :(得分:4)
这里可能足够的一种方法是在用户加载页面时从后端提供csrf令牌(密钥)。然后在执行ajax请求时传递该令牌,以确保用户使用您服务器的网页。至少对于Django来说,内置了对csrf标记的支持,对其他框架也可能是相同的。
注意:这不会使您的数据/ API访问更安全,但这会让其他网站更难以使用您的API访问权限。这不是正确身份验证的替代方法。
链接: