Я создаю что-то вроде intercom.io и mixpanel. Пользователь посещает веб-сайт - там администратор может вставить фрагмент js - js вызывает сервер через ajax и регистрирует посещение или какую-либо другую форму данных.Убедитесь, что запрос javascript с сайта
До сих пор так просто, я хотел бы убедиться, что запрос сделан с веб-сайта, поэтому администратор должен включить уникальный открытый ключ. Но это, конечно, небезопасно на веб-сайте. Я прочитал кое-что о защите csrf с куки-файлами и заголовками, но для этого у пользователя должны быть файлы cookie. И если у пользователя нет файлов cookie, отслеживание не будет работать, хотя я не буду принудительно отслеживать, например. принять заголовок do-not-track и т. д.
Так как я могу гарантировать, что запрос сделан из моего загруженного асинхронным скриптом, а не какой-то командной строки с фальшивым реферированием без файлов cookie?
Как насчет JWT? –
Никогда не слышал об этом раньше, но это то, что я искал! Если вы напишете ответ, я приму его. – Tim