कुछ स्मार्टस लोग मेरी सेवा क्लोन करने के लिए मेरे एपीआई-केंद्रित वेब ऐप का उपयोग कर रहे हैं और इसे स्वयं की तरह दिखते हैं। क्या यह सुनिश्चित करने का कोई तरीका है कि सभी AJAX अनुरोध मेरी वेबसाइट से/के लिए हैं?यह सुनिश्चित करने के लिए कि मेरी वेबसाइट से अनुरोध कैसे हैं?
निश्चित रूप से मैं रेफरर हेडर का उपयोग कर सकता हूं लेकिन वे इसे आसानी से नकली बना सकते हैं।
किसी भी अजाक्स अनुरोध भेजने से पहले, जब यह आपकी साइट पर हिट करता है तो ग्राहक पर एक कुकी सेट करें।
फिर अजाक्स की सेवा करते समय कुकी को मान्य करें।
या वैकल्पिक रूप से आप केवल अपने अजाक्स अनुरोध पोस्ट कर सकते हैं। इस तरह वे एक ही मूल नीति के अधीन हैं।
हालांकि यह पूरी तरह से विचारशील विचारधारा तोड़ देगा।
सुरक्षा> विचारधारा हालांकि, इस उद्देश्य के लिए पोस्ट मुझे भी खराब करता है। –
+1 एक अच्छे/सही उत्तर के लिए –
मुझे लगता है कि jQuery का 'JSONP' इस 'मूल-मूल' प्रतिबंध के आसपास काम करेगा और सामान्य रूप से डेटा प्राप्त करेगा। –
वे इसे कैसे cloaning कर रहे हैं? एसएसएल का उपयोग करने के लिए मैं इसे सुरक्षित करने का एकमात्र तरीका सोच सकता हूं। –
संभावित डुप्लिकेट [कैप्चा का उपयोग किये बिना JSON कॉल को सुरक्षित कैसे करें] (http://stackoverflow.com/questions/12444608/how-to-secure-json-call-without-using-a-captcha) – DCoder