我正在努力允许 chrome 扩展程序通过发布数据向我的站点发布新条目。
我希望能够将其锁定,以便只有 chrome 扩展程序可以发布。如果我从其他任何地方获得发布数据,我想拒绝它。
有谁知道这是否可行/如何实现或您将如何去做?
最佳答案
不幸的是,从网络服务器验证客户端(无论是 Chrome 扩展程序、Android 应用程序、iOS 应用程序、客户端 JavaScript 还是其他客户端)是一个 Unresolved 问题。
您可以采取一些措施来阻止滥用和缓解此问题,例如:
- 要求用户身份验证(并限制每个用户的使用率)
- 基于IP地址的限速访问
- 要求提供在先前请求中分发的 token (这可用于确保以特定预期顺序/模式调用特定 API)。
- 针对异常或超限使用显示验证码或其他质询
虽然您可以额外检查诸如用户代理、引荐来源网址或嵌入在 Chrome 扩展程序中的 token 之类的内容,但对于任何分布式应用程序,很容易对这些内容进行逆向工程并在假冒应用程序中模仿它们,并且所以这些都不是真正的解决方案。
关于javascript - 仅从 chrome 扩展程序安全访问 api,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29192846/