AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 984424
Accepted
The Fool
The Fool
Asked: 2019-09-17 07:56:51 +0800 CST2019-09-17 07:56:51 +0800 CST 2019-09-17 07:56:51 +0800 CST

仅允许对域内特定引用者的请求

  • 772

请考虑以下情况:

我有一个与 IIS 在同一台服务器上运行的 API。IIS 正在托管一个网页。我只想允许访问此网页的 API。域内没有其他页面。

假设域是example.com,网页是example.com/page 这些都不应该工作,example.com,example.com/other。只有 example.com/page 应该有权访问。

作为奖励,我想知道我是否可以阻止对 API 的直接访问。所以我想禁止去 URL 栏并使用 API 地址进行获取请求。

https
  • 1 1 个回答
  • 3743 Views

1 个回答

  • Voted
  1. Best Answer
    Daniel Farrell
    2019-09-17T08:43:15+08:002019-09-17T08:43:15+08:00

    我只想允许访问此网页的 API。域内没有其他页面。

    您所描述的最好实现为 api 端的 HTTP Referer [原文如此] 白名单。Http Referer 标头描述了引用站点,默认情况下浏览器会对其进行广告 - 但请注意标头是客户端提供的,因此虽然这将阻止天真的 Web 用户从不同站点访问您的 API,但如果用户自己有动机从站点访问 api,他们可以轻松地伪造一个 http Referer 标头。

    保护 API 免受非法使用的唯一真正方法是向 API 服务器提供身份验证和授权。即便如此,任何授权 cna 的人都会在带有伪造 http 标头的 api 调用中提供相同的凭据。因此,归根结底,您无法真正阻止有动力的一方在不使用该站点的情况下访问 api。不过,今天的网站通常不会担心这一点——他们专注于确保使用 CORS 来防止对不知情用户的跨站点脚本攻击,并专注于身份验证和授权来阻止不良行为者,他们只会伪造客户提供的任何东西。

    作为奖励,我想知道我是否可以阻止对 API 的直接访问。所以我想禁止去 URL 栏并使用 API 地址进行获取请求。

    将某些推荐人列入白名单应该可以做到这一点。直接输入 URL 的链接不提供引用者,因此与您的白名单不匹配。您并没有真正阻止对 api 的访问,该 api 需要可以从您网站的合法用户的任意 IP 访问,但您正在通过检查引荐来源并拒绝不符合您的白名单的请求来进行简单的授权检查。

    • 1

相关问题

  • 为 IIS 7.0 问题创建证书

  • IE6 和更高版本在 HTTPS 处理方面的差异

  • 如何模拟连接到 HTTPS 并记录握手?

  • SSL 错误:ssl_error_bad_mac_read

  • 在实时站点上使用自签名证书有什么好处?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    新安装后 postgres 的默认超级用户用户名/密码是什么?

    • 5 个回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve