我有一个Web应用程序从我新创建的JSON API中提取数据.
我的静态HTML页面通过JavaScript从静态HTML页面动态调用JSON API.
如何限制对我的JSON API的访问,以便只有我(我的网站)可以从中调用?
如果它有帮助,我的API类似于:http://example.com/json/?var1 = x&var2 = y&var3 = z ...它根据查询生成适当的JSON.
我正在使用PHP来生成我的JSON结果...可以限制对JSON API的访问就像检查$_SERVER['HTTP_REFERER']以确保仅从我的域而不是远程用户调用API一样简单吗?
我想用 CORS 保护我的 API。我希望我的 API 只能从选定的域进行调用访问。
我正在使用 node.js 和 express,所以我添加到我的项目中:https : //github.com/expressjs/cors
和示例代码:
var express = require('express')
var cors = require('cors')
var app = express()
var corsOptions = {
origin: 'http://example.com',
optionsSuccessStatus: 200
}
app.get('/test', cors(corsOptions), function (req, res, next) {
res.json({msg: 'This is CORS-enabled for only example.com.'})
})
但是,如果我通过 POSTMAN 从本地主机发出请求,我仍然会从该路由中得到响应。这应该被阻止并且只适用于来自一个域(example.com)的请求。
我之前试过:
router.get('/test', cors(corsOptions), function(req, res, next) {
console.log(corsOptions);
res.header("Access-Control-Allow-Origin", "http://www.example.com);
res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
res.status(200).send({ work: true });
});
但这也让我对邮递员的要求...
我想要一个 API,只有当它涉及到我的 example.com 页面并且来自 JavaScript 发送的请求时才能被引用。