Intereting Posts
Powershell和Sharepoint和updatelistitems()exception
谷歌和雅虎redirect我的网站恶意软件,但直接url工作正常。 任何电脑
Ping响应时间的高度变化是否表明潜在的networking问题?
无法通过VPN访问Windows共享文件夹
如何在linode debian lenny上安装node.js?
绑定无法加载区域,checkzone说OK,checkconf不同意,从已知工作区复制
在控制台中运行没有输出的命令
与乘客使用Rails时奇怪的错误
用PostgreSQL设置trac – 如何设置编码为UTF8?
显示要修补.diff文件的文件,并确定是否修补或不修复
如何查看Microsoft Exchange 2010上的隔离邮箱?
我可否安全地从CentOS移除所有邮件服务?
Q9650与i7-870服务器
匿名login尝试从亚洲各地的IP,我怎么阻止他们能够做到这一点?
反向代理子域到IIS7上的子文件夹
是否可以阻止对API的外部请求?
我有nginx在api.example.com提供python REST API。 当用户inputexample.com时,会从用户触发几个AJAX请求到api.example.com。 如果用户不在example.com上,是否可以阻止对API的请求? CORS会帮我吗? 提前致谢!
这里的目标是使API只能从主网站访问,并阻止到外部网站。
AJAX请求将有一个引用标头,它将被设置为请求来自的页面。 你可以在这个问题上看到FireBug:
你可以过滤服务器端。 然而,如果用户足够的确定,那么假冒是微不足道的。
另一个select是在最近x分钟内保持对您网站的请求的即时logging,根据每个API请求交叉引用已知IP地址列表 – 但这也是虚假的,因为他们可以每隔一段时间轮询您的网站几分钟时间在你的桌子上保持一个有效的logging。
你想解决什么问题? 你想要阻止什么types的请求?
通常,您需要检查Referer头,以确定资源链接的位置。 但是,这很容易通过向您的API发出请求的人捏造(如果这实际上是您遇到的问题)。
在允许进行API调用之前validation某人是否是人,是您需要validation码的地方。