Задать вопрос
@OZKA
веб-разработка

Если на сервере есть проверка на HTTP referer, то будет ли это дополнительной (или основной) мерой для раздачи доступа к API?

Я хочу раздавать некоторые данные со своего сервера, поэтому я хочу создать API, но Token заменить на проверку с какого ресурса обратился "клиент" - HTTP Referer. Можно ли это все подделать - в смысле запрос с сервера, который не имеет права брать данные? Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab, в первом придется писать token в репозиторий (про второй не знаю) и, получается, рисковать тем, что им воспользуются злоумышленники.
  • Вопрос задан
  • 40 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
100% - подделать можно.
Даже и не думайте так делать.

Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab,
fetch(), iframe и т.д.
Или смотрите тут
Ответ написан
Комментировать
Комментировать
firedragon
@firedragon
Не джун-мидл-сеньор, а трус-балбес-бывалый.
Это защита от честных людей
curl --referer http://example.com/bot.html http://www.cyberciti.biz/
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Middle Frontend разработчик (React JS)
EasyGate
от 120 000 ₽
Инженер по внедрению и сопровождению ПО
МАЙНИТЕК Екатеринбург
от 87 600 до 100 000 ₽
Node JS бэкенд-разработчик (частичная занятость)
Соционом
от 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Оптимизация ботов телеграм
06 нояб. 2024, в 00:20
1000 руб./за проект
Смарт-контракт на блокчейне TON
06 нояб. 2024, в 00:03
40000 руб./за проект
Ручное тестирование приложения в сторах (iOS и Android)
05 нояб. 2024, в 23:19
3000 руб./за проект
Ещё заказы