У меня есть защищенный веб-сайт, который требует от пользователя аутентификации и хотел бы вернуть конфиденциальные данные клиенту из моего API через JSON-P, чтобы я мог обойти междоменную зону ajax вопросы. Я владею как клиентом, так и сервером, поэтому меня не интересует безопасность с точки зрения клиента (т. Е. Чтение вредоносных js с сервера).Использование JSON-P с конфиденциальной информацией
Я изучал способы обеспечения безопасности JSON-P, чтобы предотвратить подделку запросов на межсайтовый запрос, но не смог четко определить, является ли проверка Referer надежным методом защиты данных. Как я понимаю, заголовок Referer не может быть подделан в этой ситуации, потому что вызовы будут из javascript, а заголовки не могут быть изменены. Это правильное предположение?
Я бы хотел, чтобы некоторые четкие примеры того, почему или почему не проверять, что Referer не будет работать, не будет защищать JSON-P.
Спасибо!
EDIT:
Просто чтобы прояснить - JSON-P обеспечивается с помощью Spring Security, так что это не будет обеспечено только заголовок Referer. В основном я беспокоюсь о захвате сеанса ...
Вы должны заглянуть в OAuth, который в основном принимает идею проверки переводчика на один шаг дальше, используя подписанный токен. – user123444555621
Я рассмотрел OAuth, который, вероятно, позволит нам использовать JSON (вместо «с дополнением»). В настоящее время мы используем CAS, и я бы хотел использовать это, но до сих пор это был медведь, пытающийся заставить его работать с вызовами AJAX, чтобы получить простой JSON. – acvcu