1
- 私は「起源に頼ることができます私は、私だけhttps://domain2.com
質問からの要求を受け入れるようにしたいhttps://domain1.com 検証HTTPリクエスト
$headers = getallheaders();
if($headers['origin'] != 'https://domain2.com'){
return FALSE;
}
質問からの要求を受け入れるようにしたいhttps://domain1.com 検証HTTPリクエスト
$headers = getallheaders();
if($headers['origin'] != 'https://domain2.com'){
return FALSE;
}
クッキーに頼るのようになり起源ヘッダーに頼っ:両方のWebサイトはSSL
で固定されて
注意がそれはこのようなものになるだろう。適切に動作するクライアント(ブラウザなど)は、正しい値で送信します。攻撃者はサービスを稼働させるために必要なあらゆる値に簡単に偽装します。
誰かが自分のサイトで自分のAPIをブラウザから直接使用できないようにするために、これを使うことができます。誰かがあなたのAPIをプロキシ経由で使用したり、データに直接アクセスしてデータをダウンロードしたりするのを防ぐために、このAPIを使用することはできません。
「依存する」を定義します。それは助けになるだろうが、有能な攻撃者はこれを簡単に回避できる。 – ceejayoz