0
我正在構建一個返回圖像的端點。我只想允許來自同一個域的請求訪問此端點,以便其他人無法訪問它。我無法使用CORS,因爲您可以在圖像標記內進行調用,並繞過任何cors限制。無論如何要做到這一點?基於主機或域的白名單API端點
A
回答
0
如果你的目標是爲了防止簡單的盜鏈,你可以做一個引薦檢查:檢查Referer[!原文]頭,確保它包含列入白名單的域。
請記住,Referer標題有時會丟失,例如,因爲它已被關注用戶隱私的安全軟件刪除。
此外,不用說,任何決定濫用您的服務的人都很容易規避基於引薦來源的支票。
雖然你不能(據我所知)在瀏覽器請求中僞造引用者(例如,用AJAX下載圖片),但你可以簡單地設置一個代理服務器,它將下載具有僞造引用者頭部的圖像,將它們交付給實際的客戶。
但是,至少需要一定的精力才能這樣做,並且您可以通過IP地址輕鬆阻止這樣的服務器(除非它是IP地址池)。
相關問題
- 1. IP和基於域的虛擬主機
- 2. 白名單中的白名單主頁
- 3. 白名單允許Heroku postgres的主機?
- 4. 基於域名的CakePHP動態主頁
- 5. 用於Android的Phonegap白名單域
- 6. 基於域名和端口的代理
- 7. 重定向根域到www在Heroku基於主機名的SSL
- 8. 虛擬主機白名單(C++)
- 9. 基於Apache名稱的虛擬主機
- 10. 基於名稱的虛擬主機
- 11. 基於主機名的Apache HTTP代理
- 12. 基於主機名的elisp條件
- 13. ejabberd域/主機名
- 14. linkedin javascript api域名僅限於本地主機
- 15. 白名單AAD登錄端點
- 16. Apache2的多個基於域名的虛擬主機與導軌/機架
- 17. Django獲取客戶端的域名/主機名
- 18. Windows Phone手機中的白名單外部主機
- 19. fail2ban白名單動態ip更新主機名的關聯ip
- 20. 驗證域名白名單的腳本
- 21. 基於CNAME的PHP主機
- 22. 基於端口指向域?
- 23. mvc3區域有主機名
- 24. 域名和主機文件
- 25. HTML5主頁基於菜單點擊
- 26. 點客戶端領域我的域名
- 27. 主題一個基於主機名的網站
- 28. JIRA作爲無端口的子域。 htaccess或虛擬主機
- 29. WCF端點,baseAddressPrefixFilters,主機頭
- 30. 如何設置域名(或主機名)上Wildfly-8.2.1.Final