Имеем страничку которая отвечает на ajax. Сделана как обычная aspx страница в которой проверяется сессия и дается ответ. Примерно вот так.
public partial class GetChatMessages : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
SessionHelper.LoggedInOrRedirect();
SessionHelper.AllowedRequestOrThrow();
Response.ContentType = "application/json";
Response.ContentEncoding = System.Text.Encoding.UTF8;
Response.Write(getResponse());
}
Проблема в том что эта страничка отвечает на запрос с любого домена при условии что мы имеем сессию на сервере. Тоесть открываем в 1 вкладке наш сайт в другой абсолютно левый и с левого делаем ajax запрос на наш сайт. Кукисы отдаются и сессия подтвержается и левый сайт получает наши приватные данные из ajax и делает с ними всё что захочет. Как ограничить такое поведение? не отдавать левому домену ничего.
