我有一个在 Eclipse 中开发的 JSP Web 应用程序作为动态 Web 项目。
我们使用调用我的应用程序的第三方 Web 应用程序,我需要验证是否只允许来自该应用程序的请求在我的应用程序中创建新 session 。
我尝试使用 javascript 来完成此操作,并思考作为最后的资源,使用 Filter 类来了解请求来源并定义行为。
问题是用户要求操作在客户端完成,这意味着我必须使用javascript或类似的,我已经阅读了关于JS的document.referrer,但到目前为止控制台上没有显示任何内容。
最佳答案
您在客户端中使用 JS 处理 session 所做的任何操作都是不安全的,因为它很容易被恶意用户修改。此外,使用引用或任何其他 http header 参数都是不安全的,因为它们也很容易被欺骗。
如果这个第三方应用程序直接调用您的应用程序,我想您对它有一定程度的控制。您可以访问并修改其源代码还是仅使用配置参数?
理想情况下,第三方应用程序会在向您的应用程序发出的每个请求中使用身份验证 token 。这些身份验证请求以及所有 session 处理逻辑将始终在服务器端处理。
关于javascript - 限制对 Web 应用程序的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36317624/