0
我已經在Microsoft Azure abc.com上託管了我的REST api,並且我只想從xyz.com接收基於HTML的頁面的調用。使用c查找哪個主機已被REST api請求#
有沒有什麼辦法可以找到xyz.com發送的REST請求,或者任何其他簡單的方法來保護基於html的消費者的rest api?
使用MVC,ASP.NET
A
回答
0
最簡單的方法是檢查您收到的HTTP請求,檢查Referer標頭,在這個問題詳述:
How do I get the referrer URL in an ASP.NET MVC action?
問題它不是100%安全的,因爲Referer頭可能被欺騙,如果有人決定繞過它。
另一種方法是添加基於IP的過濾器,阻止僅映射到xyz.com的IP的傳入請求,但這完全取決於您如何託管您的網站 - 虛擬機位於天藍色,託管網站或其他內容。
1
無論您的後端是C#,您都可以使用訪問控制 - 允許來源 HTTP標頭將xyz.com指定爲允許的推薦鏈接。
您必須指定Vary:來源標題Access-Control-Allow-Origin是通配符以外的任何其他名稱。這「表示[S]到客戶端服務器的響應會有所不同基於起源請求頭的值」
您可以瞭解更多關於此頭和它是如何工作在不同的場景在本SO回答:https://stackoverflow.com/a/10636765/1449160
參見:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin
然而,這是不夠安全,CORS是一個客戶端實現的功能。您可能希望您的C#後端檢查引薦來源,作爲您的訪問控制的一部分。這是另一個SO問題,其答案涉及這個問題:Getting the HTTP Referrer in ASP.NET
最後,爲了確保您的API免受未經授權的訪問,有很多方法可以做到這一點,這將超出幾個段落的範圍。 OAuth可能是最爲人熟知的,但您也可以爲您的客戶端生成唯一的令牌並將其包含在標頭中或使用您的令牌的HTTP基本身份驗證作爲用戶名或密碼等。
+0
正如@Avner Shahar-Kashtan所提到的,引用者URI也可能被欺騙,所以即使這樣也不足以保證安全。您可能需要您的CORS頭文件,後端引用程序檢查以及某種類型的身份驗證令牌,以確保您的API安全。 –
+0
謝謝山姆!我會試一試。並更新。 –
相關問題
- 1. 使用PHP創建REST API:獲取請求主機的域名
- 2. 使用WP REST API請求C#
- 3. C#REST API - POST請求:「您必須提供請求主體..」
- 4. 用於查找已發送請求和已收到請求的Facebook圖形API
- 5. 查找哪些事件已被觸發
- 6. AJAX REST API請求
- 7. REST API PATCH請求
- 8. REST API請求,winform
- 9. 哪個checkbutton已被檢查
- 10. 授權已被拒絕使用JWT此請求在主機上不在本地
- 11. REST API發佈請求 - 請求錯誤
- 12. REST API:在單個請求中請求多個資源
- 13. 在REST API請求(目標C)中使用Cypher(Neo4j)
- 14. c#使用Skydrive REST API發出PUT請求的問題
- 15. 如何使用REST api優化請求JSON的c#代碼
- 16. 觸發與REST API請求
- 17. GET請求到REST API
- 18. SoftLayer REST API取消請求
- 19. python請求多個URL的REST API
- 20. 使AJAX get請求NOAA REST API
- 21. 請求已被黑洞 - CakePHP
- 22. 查找請求的服務器主機IP?
- 23. 禁用對REST API的直接請求
- 24. MongooseIM REST API不適用於POST請求
- 25. Jersey REST API請求不起作用
- 26. asp.net mvc從哪個主機學習資源請求
- 27. 使用SoapUI API找不到請求
- 28. 找出哪個TableView已被點擊
- 29. 找出哪個web.config(s)已被加載
- 30. REST Idempotence實現 - 如何在請求已被處理時回滾?
謝謝。我會試一試。其基於Azure的網站。我試過公共或開放的datapower網站誰可以提供客戶端/祕密密鑰,然後令牌,但無法找到。你碰巧知道任何可用於公衆而不是企業的服務? –