@OZKA

Если на сервере есть проверка на HTTP referer, то будет ли это дополнительной (или основной) мерой для раздачи доступа к API?

Я хочу раздавать некоторые данные со своего сервера, поэтому я хочу создать API, но Token заменить на проверку с какого ресурса обратился "клиент" - HTTP Referer. Можно ли это все подделать - в смысле запрос с сервера, который не имеет права брать данные? Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab, в первом придется писать token в репозиторий (про второй не знаю) и, получается, рисковать тем, что им воспользуются злоумышленники.
  • Вопрос задан
  • 41 просмотр
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
100% - подделать можно.
Даже и не думайте так делать.

Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab,
fetch(), iframe и т.д.
Или смотрите тут
Ответ написан
Комментировать
firedragon
@firedragon
Не джун-мидл-сеньор, а трус-балбес-бывалый.
Это защита от честных людей
curl --referer http://example.com/bot.html http://www.cyberciti.biz/
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы