我們有一個網頁,我們通過iFrame向合作伙伴公司提供。 iFrame包含幾個javascript文件,它們向我們的服務器發送ajax請求以獲取數據。 iFrame本身需要一個API密鑰,該密鑰是合作伙伴的域名。這可以防止iFrame安裝在未註冊的域上。但是,從註冊站點簡單複製iFrame的內容和JavaScript文件並將它們託管在非註冊站點上將非常容易。如何通過AJAX請求驗證用戶?
理想情況下,我們希望使用API密鑰來限制Ajax請求,並阻止我們的服務器爲非註冊網站提供請求的數據。但是,似乎沒有爲Ajax請求設置HTTP_REFERER服務器變量。我們如何知道請求來自哪個網站?可能嗎?如果不是,我們如何防止未經授權的訪問?