Есть несколько независимых сайтов, которые получают контент посредством ajax запроса (после загрузки страницы или по действию юзера) на сервер-провайдер.
Есть какой то способ защититься от подключений с иных сайтов или напрямую. Если на php, то тут понятно все происходит на сервере и пользователь не может подсмотреть данные.
Единственное, что пришло в голову - аяксом обращаться сначала на локалхост, а уже оттуда скриптом на удаленный сервер, но это усложняет логику.
А вот как быть с чистым js, есть ли варианты проверки?
CSRF токены которые генерируются на "сервере-провайдере". При запросе страницы клиентом, обращаться за токеном и вкладывать его в ответ клиенту. AJAX запросы делать с использованием этого токена.
Про CORS читал, но тут проблема обратная. Нужно не защитить сайт-потребитель от подключения на его страницах сторонних скриптов, проблема защитить сервер-провайдер от сторонних подключений.
Средний
