Задать вопрос
@OZKA
веб-разработка

Если на сервере есть проверка на HTTP referer, то будет ли это дополнительной (или основной) мерой для раздачи доступа к API?

Я хочу раздавать некоторые данные со своего сервера, поэтому я хочу создать API, но Token заменить на проверку с какого ресурса обратился "клиент" - HTTP Referer. Можно ли это все подделать - в смысле запрос с сервера, который не имеет права брать данные? Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab, в первом придется писать token в репозиторий (про второй не знаю) и, получается, рисковать тем, что им воспользуются злоумышленники.
  • Вопрос задан
  • 34 просмотра
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
100% - подделать можно.
Даже и не думайте так делать.

Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab,
fetch(), iframe и т.д.
Или смотрите тут
Ответ написан
Комментировать
Комментировать
firedragon
@firedragon
Не джун-мидл-сеньор, а трус-балбес-бывалый.
Это защита от честных людей
curl --referer http://example.com/bot.html http://www.cyberciti.biz/
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Веб-дизайнер
Stakewolle
от 40 000 до 60 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать сайт на React + Nest
19 апр. 2024, в 12:05
1500 руб./в час
Разработать программу в CodeSys
19 апр. 2024, в 12:00
250 руб./за проект
Сделать мобильную версию сайта Next.js/React
19 апр. 2024, в 11:54
500 руб./в час
Ещё заказы