Как разрешить вызов API только из одного источника / домена? - PullRequest
0 голосов
/ 28 мая 2018

Итак, я столкнулся с проблемой.Я строю файл javacript, который добавляет iframe на страницу клиентов (внутри div).Допустим, этот iframe загружен из http://example.com/iframe. внутреннего модуля iframe (для обработки отправки формы; написано весной) имеет некоторые конечные точки, такие как http://example.com/url1, http://example.com/url2

Теперь я хочутолько iframe для связи с бэкэнд-API.В настоящее время я также могу использовать API-интерфейсы бэкэнда iframe из localmachine.

Я сталкивался с полем HTTP Referer и изначально планировал установить фильтр API для Referer, но позже выяснил, что это легкоподделать.Получу ли я какой-либо полезный заголовок CORS для API и установив источник как http://example.com? Будет ли он работать, и если да, это безопасное и надежное решение?Есть ли лучшие альтернативы?

...