Wil*_*nes 5 javascript security ajax
我确定之前已经问过这个问题,但我找不到以对我有意义的方式解释它的线程.
我正在创建一个用Javascript编写的bookmarklet /浏览器插件.此脚本调用api,有效地将用户活动信息从一个站点发送到另一个站点.(想想,当用户发布facebook状态时发推文)
此网站将JavaScript加载到网站中.我正在使用的API需要使用API密码生成MD5哈希.这没问题,我正在对我在其他地方托管的PHP脚本进行ajax调用,返回正确的字符串.
问题是我不希望用户能够调用这个相同的脚本来生成他们自己的字符串,嵌入的秘密会滥用API.他们是一种我只能在我想制作它时允许调用此API的方法吗?
或许我正在从错误的方向接近这个.
1)您应该在数据库上打开一个令牌,例如 GUID。
这个guid将代表一些信息,并且只能执行一次(在表中放置一个名为“isAlreadyuse”类型位的数据库字段)。
现在 ,
当 ajax 调用自身时 - 您将此 guid 发送到服务器。
服务器将查看guid是否存在
并发出其逻辑并将该字段更新为“1”。