Я работаю над приложением, которое загружается внутри iframe на другой веб-странице. Когда пользователь запускает приложение, я получил запрос на мое приложение, как этот:проблема безопасности с приложением, загруженным в iframe
www.mypage.com/?user=1234
Затем мое приложение перенаправляет пользователя к
https://login.host.com/oauth2?response=code&client_id=my_app_id&scope= & REDIRECT_URL = www.mypage .com /? index/loadApp
Данный идентификатор пользователя используется для проверки наличия маркера в БД, если нет - полученный код используется для получения нового токена доступа.
Вопрос: Как предотвратить вызовы, которые не идут из i-frame на www.host.com? Запрос «www.mypage.com/?user=1234» можно увидеть в консоли firebug, поэтому, если кто-то вручную вводит этот url в браузере, он может запустить приложение для случайного пользователя. Более того, если в БД обнаружен такой токен, человек увидит эти случайные пользовательские данные!
Я использую запрос подписи для всех моих запросов. Но я не знаю, что делать с этим первым запросом (www.mypage.com/?user=1234).
Какова наилучшая практика в таких случаях?
Спасибо!