Защита вызовов ajax

Question

Мне нужно сделать ajax-вызов с сайта на сервис, предоставляемый на другом сайте и сервере, и мне нужно сделать его безопасным, чтобы я был уверен, что этот вызов является подлинным вызовом с клиентского сайта и формы.

Каковы наилучшие способы получить это?

Answer 1

Я бы создал службу на вашем сервере, чтобы сделать звонок на другой сайт, и внедрить там любой тип очистки. Межсайтовые вызовы ajax даже во многих браузерах запрещены.

Answer 2

Есть пара подходов.

То, к чему я бы склонялся, это чтобы ваш сервер передавал запрос по доверенности, чтобы клиент общался только с вашим сайтом.

1. Пользователь (используя ваш клиент) проходит аутентификацию на вашем сайте.
2. Клиент отправляет запрос на ваш сервер
3. Ваш сервер перенаправляет запросы на удаленный сервер
4. Ваш сервер пересылает ответ обратно клиенту

Answer 3

На супер-высоком уровне спектра безопасности вы можете заставить сервер клиентского приложения создать подписанное сообщение с использованием закрытого ключа и включить его в HTML-код клиента. Затем вызов ajax переадресует это сообщение в своем вызове, и тогда сервер ajax сможет его проверить.

Оптимально, чтобы сообщение было изменено и включало в себя идентификатор пользователя, метку времени и т. Д., Чтобы заведомо исправное сообщение не могло быть сохранено и повторно использовано злонамеренным клиентом.