He habilitado JSONP en mi irischouch CouchDB para poder hacer peticiones ajax a mis vistas. Esto significa que cualquiera puede hacer una solicitud de ajax a mis vistas de CouchDB.¿Alguna forma de limitar el acceso a la vista CouchDB cuando JSONP está habilitado?
¿Hay alguna forma de evitar esto?
Si no, ¿hay alguna manera de limitar el acceso a las vistas (con JSONP desactivado) para que solo mi aplicación pueda verlo (utilizando un proxy)?
La funcionalidad de dominios cruzados sigue siendo difícil. No creo que JSONP permita solicitudes autenticadas, por lo tanto, su elección con JSONP es entre datos totalmente públicos y datos totalmente privados.
(Por cierto, si usted está preocupado acerca de la privacidad, tenga en cuenta que sus enemigos o niños de la escritura o el que simplemente se puede leer la fuente de la página y consultar sus puntos de vista con curl.)
La solución correcta para la seguridad entre dominios es Intercambio de recursos entre objetos (CORS). Hay un CouchDB CORS patch. Por cierto, Iris Couch (donde trabajo) hace compatible extraoficialmente con este parche y lo activará si se contacta con ellos.
Si usa un proxy, la ventaja es que tiene una gran flexibilidad y control sobre la seguridad. (La desventaja, obviamente, es que ahora debe mantener un nuevo servidor, y también debe estar atento a que alguien haya hecho un agujero en su política de seguridad del que no se había dado cuenta).