我有一個AJAX密集型Web應用程序,請求是不安全的,這意味着沒有客戶端標識。我不檢查它是否在服務器上發出請求。只允許某些客戶端進行AJAX請求
最近我發現有人用我的ajax請求網址創建了一個模仿我的網絡應用的iPhone應用。我添加了一個過濾器,通過查看用戶代理字符串來放棄iPhone的請求。這絕對是一個臨時解決方案。
而不是阻止某些用戶代理,我如何確保請求來自我的應用程序?如果我添加更多的服務,如FB應用程序,谷歌小工具等我希望這些提出請求。
問題是我如何確保請求來自我的應用程序並丟棄其他所有內容。
Ajax安全性與同步表單提交安全性沒有區別;儘可能使用會話和IP日誌記錄技術;在服務器端驗證IP和會話。 – vPJ 2011-03-07 19:56:13
@vPJ - 驗證IP和會話對什麼?仍然無法知道「會話」不是內置於iPhone應用程序中的代理。 – Tony 2011-03-07 20:35:27