В настоящее время я занимаюсь разработкой форумного веб-сайта с целью изучения разработки веб-приложений и безопасности приложений. Некоторая часть сайта защищена учетными данными.
Но есть скрипт .php, который возвращает последние новости. И мой news.php (через javascript и jquery ajax) делает запрос к return_news.php, чтобы получить json-файл информации о последних новостях. И в этот момент возникает проблема. Любой желающий может отправить запрос на return_news.php и отобразить мои данные на своем сайте. Я хочу сделать так, чтобы только файлы на моем хосте могли делать запросы к моим конечным точкам или делать данные доступными только через мой домен https://www.example.com и отклонять любые запросы, поступающие из других источников.
Что я сделал:
Я провел небольшое исследование в Интернете. Прочитайте некоторые статьи о CORS и .htaccess файле. Но мой хост находится на облачном сервере, и я не думаю, что у меня есть к нему доступ. И я не смог найти способ проверить текущие настройки моего хостинга. Кажется, проблема связана с CORS, но я не смог найти подробного объяснения того, как достичь своей цели.
Резюме: Как я могу настроить свой веб-сайт таким образом, чтобы контент был доступен только через мой домен (например, https://www.example.com), мой API отвечает на запросы, исходящие только от моего домена, и мой контент не может быть получен только запрос на получение и отображается на другом веб-сайте?