如何限制對我的網絡服務的訪問？

Question

我有http://example.com/index.html，從HTML中使用JavaScript（的XmlHttpRequest）在http://example.com/json/?a=...&b=...

調用Web服務的Web服務回報index.html信息的JSON數組，然後被顯示在index.html。

由於任何人都可以查看源代碼index.html，看我如何調用JSON Web服務（http://example.com/json/），如何防止人直接叫我的JSON的web服務？

由於Web服務本質上是一個開放的讀到我的數據庫，我不希望人們濫用網絡服務，並開始直接從Web服務獲取數據，啓動DoS攻擊我的服務器，比獲取更多信息他們應該等。

UPDATE：

有沒有辦法來限制http://example.com/json/只請求來自同一服務器（IP）和http://example.com/index.html URL請求？

含義，不能http://example.com/json/檢測到請求人是（$_SERVER['REQUEST_URI'] == http://example.com/index.html），只允許？

Answer 1

有很多事情可以爲您的服務添加安全性。檢查此out

Answer 2

您無法正確保護可從客戶端JavaScript調用的Web服務。

您可以嘗試通過模糊處理技術（如javascript混淆）來實現安全性，但它不會阻止某人的動機。

Answer 3

有沒有簡單的方法來防止那。如果你的服務不是非常受歡迎，因此可能成爲拒絕服務攻擊的目標，我不會打擾。

我想到的一件事是使用一次性令牌（有效的10或100個請求）。

其他（樸素的）方法是檢查請求中是否存在X-Requested-With標頭，但當然這可能很容易被僞造。所以，我的建議是：什麼也不做，除非問題是真實的。

還有一個想法：hash calc。這個想法是要求客戶端對每個請求執行相當昂貴的計算，同時驗證服務器端的計算是便宜的。對於單個請求，開銷非常小，但對於1000個請求而言，可能需要大量的CPU時間。我不知道hashcalc是否已被用於防止拒絕Web服務。幾年前它被提議爲反垃圾郵件措施，但從未流行。

Answer 4

答案很簡單，使用CSRF保護。 http://en.wikipedia.org/wiki/Cross-site_request_forgery

簡單地說，當用戶來到你的網站（的index.php），把會話： CSRF =（RANDOM_HASH）

詢問JSON請求，example.com/json.php?hash=$_SESSION['CSRF']

而且在JSON。php檢查是否$_GET['hash']匹配$_SESSION['CSRF']

這樣簡單... 它是服務器端解決方案！

Answer 5

我會跟蹤IP地址發出請求的。如果您看到來自相同IP的大量請求，則可以阻止它或提供驗證碼。