Ограничить вызовы ajax извне приложения узла

Question

Я хочу ограничить вызовы AJAX, отличные от моего приложения. Я не хочу, чтобы мой запрос AJAX отправлял ответ при вызове извне моего приложения, даже когда URL-адрес звонка AJAX копируется и вставляется в браузере. Я использую узел, выражение и mongodb.

Answer 1

Что я сделал добавить некоторые заголовки в моих Ajax вызовов:

// javascript 
$.ajax({ 
    type: 'POST', 
    dataType: 'json', 
    headers: {"Content-Type": "application/json", "app-ver": 1.5} 
}) 
. 

// php 
$client_ver = floatval($_SERVER['HTTP_APP_VER']); 

// I also check $_SERVER['CONTENT_TYPE'] to be: 'application/json' 
// and post method. (ask me I'll add) 

if ($client_ver != 1.5) 
{ 
    echo '{}'; 
    exit(); 
} 

Edit: Другой способ будет создавать «сеанс» с вашим приложением, то есть, каждый запрос после успешного входа в систему должен нести token (по крайней мере) и приложите ваше приложение к множеству уникальных ключевых значений ключа, которые распознаются только вашим сервером, а не любые два запроса (например: включить время в заголовке и хеш с командой REST и сервер проверяет его, чтобы убедиться, что это уникальная команда, и ее не просто манипулируют. * Вы должны знать свой алгоритм создания сеанса, и он должен быть уникальным, или если y ou не знаю, как это сделать, я предлагаю исследовать больше об этом.

Answer 2

Если ваше приложение работает на компьютере пользователя (например, в веб-приложении JavaScript), невозможно запретить кому-либо совершать вызовы из-за пределов вашего приложения. Вы можете сделать это сложнее, используя nonce с каждым запросом, но даже тогда кто-то может создать собственное приложение, которое имитирует ваше приложение и делает вызовы в правильном порядке.

Вкратце: вы никогда не сможете полностью доверять клиенту, и вы не можете помешать кому-то подменять клиента. Вам необходимо пересмотреть свои требования.