iriscouch CouchDBでJSONPを有効にしたので、私のビューにajaxリクエストを送ることができました。 これは誰でもCouchDBビューにajaxリクエストを行うことができることを意味します。JSONPが有効な場合、CouchDBビューへのアクセスを制限する方法はありますか?
これを防ぐ方法はありますか?
もしそうでなければ、私のアプリケーションだけが(プロキシを使って)見ることができるように、(JSONPをオフにして)ビューへのアクセスを制限する方法がありますか?
クロスドメイン機能はまだ難しいです。私はJSONPが認証されたリクエストを許可しているとは思っていないので、JSONPであなたが選んだのは完全に公開されたデータと完全にプライベートなデータです。
(あなたがプライバシーを懸念している場合なお、敵やスクリプトキディまたは誰でも簡単にページのソースを読んで、curlであなたの意見を照会することができることに注意してください。)
クロスドメインセキュリティへの正しい解決策がありますオブジェクト間リソース共有(CORS) CouchDB CORS patchがあります。ちなみに、Iris Couch(私が働いているところ)はで非公式にこのパッチをサポートしています。
プロキシを使用している場合は、セキュリティに大きな柔軟性と制御力があるという利点があります。 (明らかに、新しいサーバーを維持する必要があるということは明らかです。セキュリティポリシーの中に誰かが気付かない穴が空いていることを警戒する必要があります)