在我们的应用程序中,用户可以订阅以访问“优质视频”。我们使用 vimeo 托管所有使用该域保护设置的视频,该设置只允许我们的视频嵌入到特定域中。
我们的情况:
如果一个不怀好意的用户订阅了一个月并使用该访问权限使用 Firebug、chrome inspect 或其他类似工具获取所有私人视频 ID(大约 1500),他可以在我们的登录页面上手动插入一个 iframe并且由于它在vimeo允许的域中,因此私人视频将不受任何限制地播放。
利用被盗的 id,他可以创建一个插件,该插件可以在我们自己的网站上免费列出我们所有的私人视频:(
这是一个代码示例,有人可以使用它来播放我们域上的视频,只需使用 chrome inspect 插入即可:
<iframe src="https://player.vimeo.com/video/{any video ID including our domain protected ones}" width="640" height="640" frameborder="0" allowfullscreen=""></iframe>
我的问题:
有没有办法避免或让某人更难这样做?
我们可以想到的一个可能的解决方案是创建另一个域以用作视频域(避免使用与登录相同的域),但无论如何都可以在 chrome 的网络选项卡上获取该新域。
PS:我不知道这是否相关,但我们正在使用 PhoneGap/Cordova 来开发应用程序。