Mit Ausnahme der gleichen Ursprungsrichtlinie, die alle gängigen Browser haben, und des synchronisierten Tokenmusters (es wäre ein Ärger, alle Anfragen zu tokenisieren), wie würden Sie überprüfen, ob die Anfrage direkt von meinem Benutzer gesendet wird Benutzeroberfläche und nicht durch Dritte.Wie kontrolliere ich den Zugriff für eine Antwort auf eine HTTP-Anfrage? (serverseitig und clientseitig)
zum Beispiel eine Anfrage von einem iframe auf youtube (damit ich das src = bedeuten ... nicht XMLHttpRequest-Objekt) zu senden, die Antwort würde eine leere Seite sein (wie sie es tun?), Eine Anfrage senden zu facebook ajax.hovercard (es ist eine einfache Content-Anfrage) von einem iframe, Adressleiste wird Ihnen auch eine leere Seite (kein Inhalt). SO-Antwort ist normaler Inhalt von einer Iframe-Anfrage.
Wie ich schon sagte, wie würden Sie überprüfen (vorzugsweise einige serverseitige Code), wenn die Anfrage von einer vertrauenswürdigen Quelle kommt?
P.S. : Verlassen Sie sich nicht auf Header, idk, warum Ursprung nicht von Anfragen erhalten, obwohl ich sehe, dass sie alle die Ursprungsheader in allen gängigen Browsern implementiert. Refereer kann von einigen ati Spyware-Programmen modifiziert werden. Und trotzdem können die Header nicht wirklich vertrauenswürdig sein. Aber ja, das ist eine Schicht zum Überprüfen.
zulassen. Bitte definieren Sie Drittanbieter. Ist der ISP nicht auch ein Drittanbieter? Ich meine, du hast es nicht, oder? – hakre
@hakre ich denke, es ist offensichtlich, diese Frage ist ein über Cross-Domain-Anfragen ... –