验证 javascript 请求来自网站
Verify that javascript request is from website
我正在创建 intercom.io 和混合面板之类的东西。用户访问网站 - 管理员可以插入一个 js 片段 - js 通过 ajax 调用服务器并记录访问或其他形式的数据。
到目前为止很简单,我想确保请求是从网站发出的,因此管理员必须包含一个唯一的 public 密钥。但是在网站上当然不安全。我阅读了一些关于使用 cookie 和 headers 保护 csrf 的内容,但为此用户必须启用 cookie。如果用户没有启用 cookie,跟踪将不起作用,尽管我不会强制跟踪,例如接受 do-not-track header 等等
那么我如何确保请求是从我的异步加载脚本发出的,而不是一些带有不带 cookie 的虚假引用的命令行?
使用 JWT(JSON 网络令牌)进行请求授权。
我正在创建 intercom.io 和混合面板之类的东西。用户访问网站 - 管理员可以插入一个 js 片段 - js 通过 ajax 调用服务器并记录访问或其他形式的数据。
到目前为止很简单,我想确保请求是从网站发出的,因此管理员必须包含一个唯一的 public 密钥。但是在网站上当然不安全。我阅读了一些关于使用 cookie 和 headers 保护 csrf 的内容,但为此用户必须启用 cookie。如果用户没有启用 cookie,跟踪将不起作用,尽管我不会强制跟踪,例如接受 do-not-track header 等等
那么我如何确保请求是从我的异步加载脚本发出的,而不是一些带有不带 cookie 的虚假引用的命令行?
使用 JWT(JSON 网络令牌)进行请求授权。