Google Appengine URL security - PullRequest
       1

Google Appengine URL security

1 голос
/ 20 октября 2010

Можно ли гарантировать, что запросы GET / POST к определенному URL моего приложения Appengine, AJAX или нет, могут выполняться только из приложения, а не извне (т. Е. Все запросы от других доменов должны отклоняться .

возможно?

Ответы [ 3 ]

5 голосов
/ 20 октября 2010

В дополнение к тому, что сказал @klausbyskov, вам следует взглянуть на различные механизмы защиты от подделки межсайтовых запросов (CSRF).

5 голосов
/ 20 октября 2010

Запросы не поступают от в приложении или от другого домена .Они приходят с компьютера через браузер, сканер, скрипт или любую другую программу.Это означает, что ваш вопрос относится не только к движку приложений Google, но и к веб-программированию в целом.Хрупким подходом было бы полагаться на HTTP_REFERRER, но я не рекомендую этого.Вы должны убедиться, что ваши пользователи вошли в систему и отображают только критически важную информацию для пользователей, которых вы знаете.

1 голос
/ 21 октября 2010

Запросы, сделанные из вашего приложения (по очереди и т. Д.), Автоматически выполняются администратором, поэтому вы можете требовать, чтобы запросы выполнялись администратором. Просто добавьте в ваш app.yaml следующее:

- url: /whatever_url_you_want_protected
  script: your_app.py
  login: admin

также неплохо добавить следующие файлы пропуска в конец вашего app.yaml:

skip_files: |
 ^(.*/)?(
 (app\.yaml)|
 (app\.yml)|
 (index\.yaml)|
 (index\.yml)|
 (#.*#)|
 (.*~)|
 (.*\.py[co])|
 (.*/RCS/.*)|
 (\..*)|
 (tests/.*)
 )$

Это работает для get / post, ajax, любого типа запроса.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...