Algunas personas inteligentes están usando mi aplicación web centrada en la API para clonar mi servicio y hacer que parezca propio. ¿Hay alguna manera de asegurarme de que todas las solicitudes de Ajax sean para/desde mi sitio web?¿Cómo puedo asegurarme de que las solicitudes son de mi sitio web?
Claro que podría usar el encabezado de referencia pero podrían falsificarlo fácilmente.
Establezca una cookie en el cliente cuando llegue a su sitio, antes de enviar solicitudes Ajax.
A continuación, valide la cookie al servir el Ajax.
O, alternativamente, usted puede hacer sus solicitudes AJAX solo POST. De esta manera, están sujetos a la misma política de origen.
Aunque romperá toda la tranquila ideología.
security> ideology , aunque POST para este propósito también me molesta. –
+1 para una respuesta buena/correcta –
Supongo que el 'JSONP' de jQuery funcionará en torno a esta restricción de 'origen idéntico' y seguirá obteniendo los datos de la forma habitual. –
¿Cómo están ellos cloaning it? La única forma en que puedo pensar para que lo asegures es usar ssl. –
posible duplicado de [Cómo asegurar la llamada JSON sin usar un captcha] (http://stackoverflow.com/questions/12444608/how-to-secure-json-call-without-using-a-captcha) – DCoder