我有一个Web应用程序从我新创建的JSON API中提取数据.
我的静态HTML页面通过JavaScript从静态HTML页面动态调用JSON API.
如何限制对我的JSON API的访问,以便只有我(我的网站)可以从中调用?
如果它有帮助,我的API类似于:http://example.com/json/?var1 = x&var2 = y&var3 = z ...它根据查询生成适当的JSON.
我正在使用PHP来生成我的JSON结果...可以限制对JSON API的访问就像检查$_SERVER['HTTP_REFERER']以确保仅从我的域而不是远程用户调用API一样简单吗?
fea*_*age 18
限制对域的访问的常用方法是在内容前面添加无限运行的内容.
例如:
while(1);{"json": "here"} // google uses this method
for (;;);{"json": "here"} // facebook uses this method
因此,当您通过XMLHttpRequest或仅限于您的域的任何其他方法获取此内容时,您知道需要解析无限循环.但是如果它是通过脚本节点获取的:
<script src="http://some.server/secret_api?..."></script>
它会失败,因为脚本永远不会超出第一个语句.
Gre*_*ill 17
我认为您可能误解了从用户的浏览器而不是从您自己的服务器发起JSON请求的部分.静态HTML页面被传递到用户的浏览器,然后它转过来并在页面上执行Javascript代码.此代码打开一个返回服务器的新连接以获取JSON数据.从PHP脚本的角度来看,JSON请求来自外部世界的某个地方.
鉴于上述机制,您无法阻止任何人在HTML页面的上下文之外调用JSON API.
在我看来,你不能限制访问权限,只能让它变得更难.这有点像默默无闻的访问限制.推荐人可以很容易伪造,即使使用短期密钥,脚本也可以通过不断刷新密钥来获得响应.
那么,什么可以做什么?
找出这里的弱点:
攻击者现在可以轻松地在循环中请求1到1.000.000之间的所有用户信息.ID 的弱点auto_increment是它们的线性,并且它们很容易猜到.
解决方案:为数据使用非数字唯一标识符.
你不能循环那些.没错,您仍然可以解析HTML页面中各种键的键,但这种类型的攻击是不同的(更容易避免)问题.
缺点:当然,您不能使用此方法来限制非依赖关键字的查询,例如搜索.
如果使用 API 的静态页面需要位于公共 Internet 上,那么这里的任何解决方案都将是不完美的。由于您需要能够让客户端的浏览器发送请求并使其得到尊重,因此几乎任何人都可以准确地看到您如何形成该 URL。
您可以让 API 背后的应用程序检查 http 引荐来源网址,但如果有人愿意,这很容易伪造。
如果不要求页面是静态的,您可以尝试使用 API 生成的短期“密钥”并将其包含在第一个页面的 HTML 响应中,该响应作为参数传递回API。这会增加 API 的开销,因为您必须让服务器端维护有效的“密钥”列表、它们的有效时间等。
因此,您可以采取一些步骤,这些步骤不会花费太多,但如果有人真的想要的话,也不难解决,或者您可以花更多时间让它变得更难一点,但没有完美的方法如果您的 API 必须可供公开访问,则可以这样做。