Como assegurar http solicitações provêm de um local específico?
https://stackoverflow.com/questions/1123690
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
HTTP Referer é a maneira que eu estou fazendo isso no momento. Como todos os que usaram este método sabe que não é 100% exato como o cabeçalho Referer é opcional e talvez brincou com.
Olhando para how-to --Assegurar-access to-my-web-service-de-meu-code-only Eu ainda não tenho certeza de como ir sobre isso de uma maneira mínima.
A situação:
Publicidade no local de outra pessoa. Usando um iFrame para que eu possa alterar o conteúdo / função à vontade. I pagar US $ x.xx para cada vez que uma ação seja concluída. Por isso eu preciso para garantir que a ação está sendo concluída de onde eu disse que é permitido ser concluído a partir.
O que eu estou tentando evitar:
algum outro webmaster bem vinda indo - "olha que é uma boa ferramenta, deixe-me colocar isso no meu site" Então, como eu disse no início, o que eu faço atm é se o referer não corresponder I redirecionar para uma página que tem a mesma ferramenta no entanto o que ações são pré-formados nessa página que não me custou algum dinheiro.
Ao tentar impedir que a anterior, permite o seguinte:
Eu não me importo se o proprietário webmaster / site eu estou pagando dinheiro para a "acções completas" coloca o código em outros sites - obviamente isso é uma coisa boa. Lotes mais cobertura, o proprietário do site recebe mais dinheiro e eu recebo mais ações concluídas, o que me gera mais dinheiro.
Pergunta
O que posso obter a outra parte a fazê-lo Eu sei que todos os pedidos que entram em minha página web são de outra parte Eu tenho um acordo com e não algum aleatória.
Obrigado:)
info re aplicativo
outras partes site tem um iFrame. iFrame exibe uma js / php página html / da mina que fica em um dos meus domínios. Esta página usa requisições Ajax para interagir com o webservice real que é um aplicativo Ruby / Sinatra. Tenho muitas páginas diferentes que se encaixam na aparência de outro site as partes.
Então, eu estou pensando algum tipo de conversa entre o outro servidor partidos e meu servidor seria uma boa ideia. Em seguida, o resultado desta tagarelice seria de alguma forma presente durante o pedido iFrame.
No entanto, eu não tenho certeza se a outra parte seria capaz de definir um cookie para o domínio que está sendo servido no iFrame -. Na verdade eu tenho certeza que ele não pode
Agora, para contornar essa limitação eu poderia ter um script incluído como parte do iFrame na página que poderia definir um cookie.
Ok as idéias acima resumidos:
- servidor OtherParty envia um pedido para o meu servidor recebe uma resposta.
- renderiza a página com esta resposta como um parâmetro a um
- meu script define um cookie
- como script é antes de iFrame, script é carregado pela primeira vez
- cargas iFrame com a página como um cookie foi definido no set cookie de domínio antes de ser enviada, bem
- bingo, pedido Verificado legítimo
Será que esta ok som?
btw minha ferramenta que eu quero ação completada em só funciona se JS está habilitado assim ...
Solução
Se você realmente querem garantir que pode carregar o seu iframe, em seguida, uma maneira de fazer isso é através de 2 patas OAuth (ou seja, ter o seu "sinal" parceiro de confiança a solicitação GET iframe). Em seguida, o servidor pode conceder acesso baseado em uma assinatura criptográfica válido e uma festa de assinatura conhecida. Você vai querer impor vidas válidas relativamente curtos para os pedidos assinados para impedir alguém de apenas copiá-los e integrá-las em seu próprio site.
Isto também lhe dá a vantagem de apenas ter de fazer uma troca de chave inicial, off-line sem ter o seu parceiro fazer solicitações do servidor extra de você à frente da inserção iframe.
