Comment assurer que les demandes http proviennent d'un endroit précis?
https://stackoverflow.com/questions/1123690
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
HTTP Referer est la façon dont je le fais en ce moment. Comme tous ceux qui ont utilisé cette méthode sait qu'il est pas précis à 100% que l'en-tête Referer est facultative et peut-être tripoté avec.
comment faire -assurer accès à mon-web-service de-mon-code que je suis toujours pas sûr de savoir comment aller à ce sujet d'une manière minimale.
La situation:
Publicité sur le site de quelqu'un d'autre. L'utilisation d'un iFrame donc je peux modifier le contenu / fonction à volonté. Je paie x.xx $ pour chaque fois qu'une action est terminée. Par conséquent, je dois veiller à ce que l'action est en cours d'achèvement d'où je l'ai dit il est permis de se terminer à partir.
Ce que je suis en train de prévenir:
un autre webmaster à venir le long d'aller - « hé, c'est un outil agréable, permettez-moi de mettre ça sur mon site » Donc, comme je l'ai dit en haut, ce que je fais est atm si le referer ne correspond pas à rediriger vers une page qui a le même outil mais toutes les actions sont préformées sur cette page, ils ne me coûtent pas d'argent.
Tout en essayant d'éviter ce qui précède que les éléments suivants:
Je ne me dérange pas si le propriétaire webmaster / site Je paie l'argent à des « actions complètes » met le code sur d'autres sites - évidemment, cela est une bonne chose. Beaucoup plus de couverture, le propriétaire du site reçoit plus d'argent et je reçois plus d'actions achevées, ce qui me génère plus d'argent.
Question
Que puis-je obtenir de l'autre partie à le faire, je sais toutes les demandes à venir dans ma page web sont de l'autre partie, j'ai un accord avec et non pas un hasard.
Merci:)
Infos re app
autres site Web parties ont un iFrame. iFrame affiche une page html / js / php de mine qui se trouve sur l'un de mes domaines. Cette page utilise des requêtes ajax pour interagir avec le webservice réel qui est une application Ruby / sinatra. J'ai beaucoup de différentes pages qui correspondent à l'aspect et la convivialité de l'autre site des parties.
Alors je pense une sorte de bavardage entre les autres parties serveur et mon serveur serait une bonne idée. Ensuite, le résultat de ce bavardage serait en quelque sorte présent lors de la demande iFrame.
Cependant, je ne suis pas sûr si l'autre partie serait en mesure de définir un cookie pour le domaine servi dans l'iFrame - en fait, je suis sûr qu'il ne peut pas
.Maintenant, pour contourner cette limitation que je pourrais avoir un script inclus dans le cadre de l'iFrame sur la page qui pourrait définir un cookie.
Ok les idées résumées ci-dessus:
- OtherParty serveur envoie une requête à mon serveur reçoit une réponse.
- rend la page avec cette réponse comme un param
- mon script définit un cookie
- en tant que script est avant iFrame, le script est chargé en premier
- charges iFrame avec la page en tant que cookie a été mis sur ce cookie de domaine défini avant l'envoi et
- bingo, demande vérifié legit
Est-ce son ok?
BTW mon outil que je veux de l'action terminée sur ne fonctionne que si JS est activé si ...
La solution
Si vous voulez vraiment obtenir qui peut charger votre iframe, puis une façon de le faire est par 2 pattes OAuth (c.-à-avoir votre demande iframe GET « signe » partenaire de confiance). Ensuite, votre serveur peut accorder un accès basé sur une signature cryptographique valide et une partie signature connue. Vous voulez appliquer des durées de vie relativement courtes valides pour les demandes signées pour empêcher quelqu'un d'autre de simplement les copier et de les intégrer dans leur propre site.
Cela vous donne aussi l'avantage d'avoir juste à faire un premier échange, clé hors ligne sans avoir votre partenaire de faire des demandes de serveur supplémentaire de vous avant l'insertion iframe.
