如何保護我的AJAX服務？

Question

現在我正在開發處理覆蓋在Google地圖上的當地餐館的評論/推薦的服務。基本上Yelp，但限制在一定的利基。無論如何，因爲我不想一次加載每個位置並進行檢查，所以我終於開始使用jQuery和AJAX調用。

我的問題是：如何防止其他人從服務器上的ajax腳本中'刮'數據？

主要的地圖/位置信息功能需要公開，因爲用戶不需要登錄即可使用該應用程序，因此它可能簡單地歸結爲使困難刮。我希望你們中的一位AJAX老手能指出我有更好的想法，或者我還沒有找到的一些「最佳實踐」文檔。

到目前爲止，所有我已經能夠拿出的是：

• 面向用戶的腳本在服務器上打開一個短暫的會議和AJAX調用將沒有有效的會話中運行。
• 發送某種訪問鍵以及應用程序代碼，並要求在所有的AJAX調用中。但不知道如何以一種不平凡的方式實現這一點。

Answer 1

您無法完全保護您的AJAX Web服務。即使您破壞了數據並混淆了您的源代碼，僅僅啓動一個數據包嗅探器或調試代理就可以了，並從中剔除它。

我會做的就是你的建議......只有在網站上有活動會話的用戶才能撥打電話。然後從那裏，節流請求。

即使是一個繁忙的普通用戶，每分鐘的請求量也不會超過幾個。你可以分析你的日誌來找出一個好數字。即使您將服務限制爲每分鐘20個電話，這種限制對於想要複製所有內容的人來說也是無用的。

不要僅限於會話數據...請留意IP地址。任何時候都可以發起請求並獲得新的會話。定期檢查您的日誌，看看是否有任何事情正在通過，並相應地調整您的策略。

最後，定期搜索您的內容。 Google是查找版權侵權者的絕佳工具。如果您使用特定數據（例如GPS座標），則實際上可以在座標的噪聲區域中以特定值對座標進行水印處理。

Answer 2

從我聽到的，你想要保護JavaScript服務的一面。這是不可能的，因爲JavaScript本質上是完全開源的（儘管不是公有領域）

Google提供了一個tool called Google Closure，它可以通過刪除空格和製表符來壓縮腳本。它也可以通過用隨機字符替換變量名稱和函數名稱來爲您混淆文檔。它是可定製的，所以你可以告訴它你想要什麼。從我所知道的情況來看，Google將它用於他們自己的網站（通過查看他們網頁的來源很明顯）