一些自作聪明的人正在使用我的以 api 为中心的网络应用程序来克隆我的服务并使其看起来像他们自己的服务。有没有办法确保所有 ajax 请求都是针对/来 self 的网站的?
我当然可以使用引荐来源网址 header ,但他们很容易伪造它。
最佳答案
在客户端访问您的站点时,在它发送任何 Ajax 请求之前,在客户端上设置一个 cookie。
然后在提供 Ajax 时验证 cookie。
或者您也可以只发送 Ajax 请求。这样他们就遵守同源政策。
不过,它会打破整个 Restful 意识形态。
关于javascript - 如何确保请求来 self 的网站?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12506092/