1. дома
  2. Вопрос и ответ
  3. переменные инициализации виджета jQuery

переменные инициализации виджета jQuery

2017-01-04 8 views
0

Я долгое время искал хороший ответ по этому вопросу, однако я не могу найти никаких хороших решений для своей проблемы.переменные инициализации виджета jQuery

Итак, я хочу создать виджеты jQuery, которые могут быть реализованы на веб-сайте клиентов. Однако этот виджет должен инициализировать через APIKey, который я хотел бы быть секретным, чтобы клиенты не посещали страницу клиентов.

Поэтому я думал о шифровании, которое должно присутствовать на наиболее важных языках сценариев, таких как PHP, Perl и т. Д. Например, hash_hmac ... Else, APIKey может быть извлечен, но зашифрованная строка также может быть скопирована , Кроме того, я также подумываю о создании рукопожатия, однако для этого рукопожатия мне также понадобится APIKey, чтобы разрешить рукопожатие ...

Это проблема, из-за факта содержимого, которое будет виджет показ.

Поэтому мой вопрос: ли вы, ребята, есть какая-либо хорошая идея или решения для меня, так что я могу реализовать свой виджет на сайте клиентов это securly, таким образом, с APIKey, которая защищена от посетителей сайта клиентов?

Заранее спасибо.

источник

2017-01-04 TVA van Hesteren

ответ

0

Посмотрите на этом учебнике для обмена виджета, который вы создаете, которые будут работать на внешних сайтах клиентов ... http://alexmarandon.com/articles/web_widget_jquery/

Каждого клиента в базе данных должен иметь уникальный идентификатор. Им также необходимо указать доменное имя, в котором развертывается виджет.

Когда ваш скрипт/html-шаблон загружается на сайт клиента (согласно приведенному выше руководству), вы передаете домен клиента и уникальный идентификатор на свой сайт для проверки. Если он действителен (идентификатор клиента действителен и доменное имя соответствует тому месту, где происходит сайт), то вы устанавливаете переменную в своем скрипте, чтобы начать загрузку скриптов и шаблонов html для загрузки вашего виджета.

Многие сайты чатов используют это, и я использую эту технику. Я использую этот же процесс для своих личных сайтов ... Чтобы просмотреть данные кликов на удаленных сайтах. Мой скрипт на своих страницах может запускать оверлей для отображения панели мониторинга, где я могу взаимодействовать с элементами html на странице и перекрывать результаты моей тепловой карты, вытаскиваемые с удаленного сервера. Надеюсь это поможет.

источник

2017-01-10 03:22:22 Rob

+0

У меня уже этот подход развернут, однако идентификатор можно увидеть, допустим, хакеры, которые могут подделывать домен, манипулируя реферированием. Итак, это достаточно безопасно? Я подумал о рукопожатии, но для этого потребуется другой запрос с невидимым идентификатором, который возвращает однократный код инициализации, с которым вы инициализируете виджет. –

+0

Безопасно? Google использует этот же метод для проверки того, что вы владеете сайтом (проверка тега html-тега). если ваш клиент может разместить ваш скрипт и ключ на странице, они имеют контроль над страницей/доменом. Когда ваш скрипт захватывает ключ и домен со страницы и сравнивает это с тем, что находится в вашей базе данных, тогда они хорошо подходят/разрешены. Хакер может установить ваш скрипт на перенаправленную веб-страницу, но этот домен и ключ не совпадают ... вы выведете сообщение об ошибке для хакера. Надеюсь, это поможет. – Rob

+0

На самом деле, когда хакер запускает запрос на завивку с доменом в качестве референта и с требуемым ключом, он будет предоставлять право доступа? Хотя это не из самого домена? Как я могу преодолеть этот «хак» –

 Смежные вопросы

  • Нет связанных вопросов^_^