Задать вопрос
@OZKA
веб-разработка

Если на сервере есть проверка на HTTP referer, то будет ли это дополнительной (или основной) мерой для раздачи доступа к API?

Я хочу раздавать некоторые данные со своего сервера, поэтому я хочу создать API, но Token заменить на проверку с какого ресурса обратился "клиент" - HTTP Referer. Можно ли это все подделать - в смысле запрос с сервера, который не имеет права брать данные? Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab, в первом придется писать token в репозиторий (про второй не знаю) и, получается, рисковать тем, что им воспользуются злоумышленники.
  • Вопрос задан
  • 41 просмотр
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
100% - подделать можно.
Даже и не думайте так делать.

Основная идея в том, что бы клиентов сервиса могли создавать даже на хостингах GIT страниц, вроде GitHub Pages или GitLab,
fetch(), iframe и т.д.
Или смотрите тут
Ответ написан
Комментировать
Комментировать
firedragon
@firedragon
Не джун-мидл-сеньор, а трус-балбес-бывалый.
Это защита от честных людей
curl --referer http://example.com/bot.html http://www.cyberciti.biz/
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Fullstack разработчик для веб-проектов
Asphera Tech
от 25 000 ₽
Fullstack разработчик (JavaScript, PHP, SQL), веб программист.
CleanTalk
от 1 800 $
Разработчик Drupal ( программист php 7 )
IT House
от 80 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Найти причину падения конверсий
27 нояб. 2024, в 13:07
10000 руб./за проект
Разработать мобильное приложение
27 нояб. 2024, в 12:53
70000 руб./за проект
Доработать сайт
27 нояб. 2024, в 12:50
25000 руб./за проект
Ещё заказы