安全的本地主機JavaScript的AJAX請求

Question

我有一個書面的應用程序，用Python作爲一個簡單的Web服務器（我正在使用瓶框架）和HTML + JS客戶端。整件事在當地運行。在這種情況下，網頁充當GUI。

在我的代碼中，我實現了一個文件瀏覽器界面，所以我可以從JavaScript訪問本地文件結構。

服務器只接受本地連接，但困擾我的是：如果有人知道我在本地運行我的應用程序，並僞造一個帶有AJAX請求的本地站點？我以某種方式訪問​​他的網站，我的本地文件是否可以被攻擊者看到？

我的主要問題是：有沒有什麼辦法來保證這一點？我的意思是說我的服務器肯定知道請求來自我的本地服務文件？

Answer 1

防止這種攻擊的最直接的方法是每個請求只需要一個複雜的密鑰。在處理請求之前，讓你的本地代碼驗證自己。這基本上是如何保護互聯網上的Web服務的。

您可能還想考慮以諸如DBUS或unix套接字之類的其他形式進行進程間通信。我不確定你在使用哪種操作系統，但是有很多內部進程通信選項不會讓你以這種方式受到攻擊。