我需要创建一个点击调用小部件(使用 iframe)。客户将在他们的网站上添加该小部件。 iframe 将有一个输入框,客户的某些客户将在其中输入他们的手机号码,当客户单击提交按钮时,将直接从客户的浏览器向我们的服务器发出请求。 我们如何确定请求是从有效网站发出的?有什么办法可以破解这个帖子请求吗? 还有还有什么更好的办法吗?
小部件的屏幕截图:
需要澄清的是,该小部件将位于其他域上,并且发布请求将直接发送到我们的服务器。
最佳答案
您可以在服务器 header 上设置 Access-Control-Allow-Origin
header 并指定确切的域,以允许它们从浏览器发送请求,如下所示:
Access-Control-Allow-Origin: http://domain1.com http://domain2.com
检查这个link了解更多信息。
另一种方法是从客户端读取 Origin header ,然后检查它是否是允许的域列表之一,如果是,则写入响应并设置 Access-Control-Allow-Origin header 。
关于javascript - 验证来自其他域的 iframe post 请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20966066/