У меня есть интенсивное веб-приложение AJAX, где запросы являются незащищенными, что означает отсутствие идентификации клиента. Я не проверяю, выполняет ли его приложение приложение на сервере.Разрешить только определенные клиенты для запросов AJAX
Недавно я узнал, что кто-то использовал мои запросы запроса ajax, чтобы создать приложение для iPhone, которое имитирует мое веб-приложение. Я добавил фильтр, чтобы отменить запросы от iPhone, просмотрев строку пользовательского агента. Это, безусловно, временное решение.
Вместо того чтобы блокировать определенные пользовательские агенты, как я могу убедиться, что запрос возник из моего приложения? Если я добавлю больше сервисов, таких как приложение FB, Google Gadget и т. Д., Я хочу, чтобы они тоже делали запросы.
Вопрос в том, как я могу убедиться, что запрос возник из моего приложения (ов) и отбросить все остальное.
Безопасность Ajax не отличается от безопасности отправки синхронной формы; Используйте технику сеанса и IP-регистрации, где вы можете; проверять IP и сеанс на стороне сервера. – vPJ
@vPJ - проверить IP и сеанс против чего? Пока еще нет способа узнать, что «сеанс» не является прокси-сервером, встроенным в iPhone-приложение. – Tony