может ли jquery или google app engine отключать запросы, исходящие из внешнего домена

Question

Я пытаюсь создать веб-приложение в Google App Engine для Java.Я планирую хранить и извлекать некоторые данные JSON с помощью Jquery.

Я хочу знать, могу ли я создать настройку в своем веб-приложении или в механизме приложения, чтобы любые выборки json происходили из внешних доменов,автоматически отклоняются / не отвечают?

Так что только запросы на выборку json моего веб-приложения работают правильно?

Я не уверен, требуется ли для этого изменение некоторых параметров в jquery или обработчике приложения или в обоих...

Answer 1

Формулировка вопроса неоднозначна. Я предполагаю, что вы имели в виду: «Клиент, которого я буду обслуживать из App Engine, будет отправлять запросы JSON обратно на сервер. Как я могу гарантировать, что сервер отвечает только на запросы JSON из кода клиента, который я обслуживал?»

Требуете ли вы, чтобы пользователи вашего приложения входили в систему? Если так, то обработчик, который обслуживает JSON, также требует входа в систему. Это простой способ защитить себя. Если вы не обеспокоены тем, что вошедшие в систему пользователи делают поддельные запросы, все готово.

Помогает ли это?

Answer 2

Нет способа помешать пользователю просто составить запрос за байтом, идентичный байт-байту, который отправляет браузер, и отправлять его самостоятельно - единственные данные, которые должно использовать ваше приложение, - это данные, которые пользователь отправил вам.добровольно.

Лучшее, что вы можете сделать, это вставить токен на страницу, которую вы возвращаете, и требовать, чтобы этот же токен присутствовал во всех запросах, но это не помешает злоумышленнику просто получить вашу страницу, чтобы получитьдействительный токен и его использование до истечения срока его действия.