HTTP Referer 是我目前使用的方式。使用此方法的每个人都知道它不是 100% 准确的,因为 Referer 标头是可选的并且可能会被摆弄。
查看how-to-ensure-access-to-my-web-service-from-my-code-only我仍然不确定如何以最小的方式解决这个问题。
情况:
在别人的网站上做广告。使用 iFrame 以便我可以随意更改内容/功能。每次操作完成时,我都会支付 $x.xx。因此,我需要确保操作是从我所说的允许完成的地方完成的。
我试图阻止的事情:
其他一些网站管理员也随之而来 - “嘿,这是一个不错的工具,让我把它放在我的网站上” 所以正如我在顶部所说的,我所做的 atm 是如果引用不匹配我重定向到一个页面相同的工具,但是在该页面上执行的任何操作都不会花费我任何钱。
在尝试防止上述情况时,请允许以下情况:
我不介意我付现金给“完成操作”的网站管理员/网站所有者是否将代码放在其他网站上 - 显然这是一件好事。更多的覆盖面,网站所有者获得更多的现金,我完成了更多的操作,这给我带来了更多的现金。
题
我可以让另一方做什么,以便我知道进入我网页的所有请求都来自与我有协议的另一方,而不是随机的。
谢谢 :)
信息再应用
其他方网站有一个 iFrame。iFrame 显示我的一个 html/js/php 页面,该页面位于我的域之一。此页面使用 ajax 请求与作为 ruby/sinatra 应用程序的实际 Web 服务进行交互。我有很多不同的页面适合其他方网站的外观和感觉。
所以我想在其他方服务器和我的服务器之间进行某种聊天会是一个好主意。然后,在 iFrame 请求期间,这种喋喋不休的结果会以某种方式出现。
但是,我不确定另一方是否能够为 iFrame 中提供的域设置 cookie - 事实上我很确定它不能。
现在为了解决这个限制,我可以在页面上包含一个脚本作为 iFrame 的一部分,可以设置 cookie。
好的,总结以上的想法:
这听起来好吗?
顺便说一句,我希望完成操作的工具仅在启用 JS 时才有效,因此...