我對跨產品政策有疑問。是否可以將API限制爲僅限一個Web界面/應用程序?
我有一個Web應用程序,獲取數據,通常以JSON格式,通過AJAX。
當Web應用程序初始化,獨特的「關鍵」或「令牌」從服務器通過AJAX創建併發送到客戶端,作爲一個平均值來識別它。每次ajax調用都會發送令牌用於驗證目的。如果在兩個小時內未驗證,則PHP腳本將其刪除,並且用戶需要再次對其進行身份驗證。
如果用戶發送另一個Ajax呼叫(即,如果有活動與關聯的令牌),令牌將其過期2小時。
每次調用,我驗證令牌,然後處理請求。一切運作良好,但我的問題是安全導向。由於令牌存儲在客戶端(非常粗糙,如window.token = 'YTM0NZomIzI2OTsmIzM0NTueYQ==';
),惡意用戶不可能檢查代碼,複製包括令牌在內的JavaScript
,並創建另一個可訪問相同令牌的應用程序數據?
簡而言之:是的。 :) – deceze 2012-02-29 00:55:53
是的,你無能爲力。 – SLaks 2012-02-29 00:56:13
我不知道PHP,但是它不包含會話功能嗎? – 2012-02-29 00:57:40