القائم URL API تقييد الأساسي: كيف يعمل التحقق من صحة؟
https://stackoverflow.com/questions/1023971
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا مهتم لمعرفة كيف يعمل المعهد تقييد الرئيسي القائم URL، مثل تلك المستخدمة من قبل جوجل لحماية خدمة خرائط جوجل لها.
وحسب ما فهمت من هذه المادة " تقييد الوصول إلى الخدمات اياكس ، "هناك نوعان من أجزاء المعنية: أولا حيث الخدمة بإنشاء مفتاح معين لمجال معين، باستخدام وظيفة التجزئة في اتجاه واحد. والثانية حيث بالتحقق من صحة خدمة مفتاح على أساس رأس التحويلية.
وعلى الرغم من أن المادة هي تفسيرية تماما، لا يزال لدي مشكلة في محاولة لفهم مدى سلامة هو الأسلوب التحقق من الصحة. أعني، إذا تم سحب مفتاح فقط ضد المحيل، ليس هذا من السهل جدا للتوصل؟ وأنا أفكر أن بسيطة "127.0.0.1 www.mydomain.com" في ملف المضيفين سيكون كافيا لخداع التحقق من الصحة، وتعتقد أن المحيل هو www.mydomain.com.
وأنا قد يساء فهم بعض الأمور، وسيكون موضع تقدير عدد قليل من التوضيحات.
المحلول
وقسم "القيود" من المقال الذي استشهد على وجه التحديد يذكر إمكانية خداع الإحالات.
وتغيير ملف المضيف قد يكون في الواقع ما يكفي لإقامة المراجع، ولكن فقط عندما كنت الوصول إلى الموقع من الكمبيوتر الخاص بك . وهذا يعني أنك يمكن أن يسيء الترخيص فقط عند اختبار محليا. هذا ليس الاعتداء مثيرة جدا للاهتمام.
في لنشر التطبيق الخاص بك، وكنت بحاجة إلى محاكاة ساخرة الإحالات على الجميع المتصفحات، إلا إذا كنت تستخدم API من تنفيذ تشغيل محليا، وفي هذه الحالة ربما كنت في السيطرة الكاملة على كل الرؤوس.
