Javascript 如何防止直接访问我的JSON服务?
我有一个JSON web服务来返回要显示在谷歌地图上的主页标记 本质上,Javascript 如何防止直接访问我的JSON服务?,javascript,web-services,security,json,Javascript,Web Services,Security,Json,我有一个JSON web服务来返回要显示在谷歌地图上的主页标记 本质上,http://example.com调用web服务以查找所有地图标记的位置,如下所示: http://example.com/json/?zipcode=12345 并返回一个JSON字符串,如: {"address": "321 Main St, Mountain View, CA, USA", ...} 因此,在我的index.html页面上,我获取JSON字符串并放置地图标记 然而,我不希望人们直接呼叫我的JSON
http://example.comhttp://example.com/json/?zipcode=12345
{"address": "321 Main St, Mountain View, CA, USA", ...}
index.htmlhttp://example.com/index.htmlhttp://example.com/json//json/http://example.com/json/更新: 为了更加清晰,请参见
http://example.com/index.htmlhttp://example.com/json/?zipcode=12345-返回半敏感数据,
-返回一个JSON数组,
-响应GET请求,
-发出请求的浏览器已启用JavaScript
同样,我不想让人们看到我的
index.html最后,您也可以使用公钥加密来实现这一点,但这将非常繁重。您需要为每个请求生成一个新的pub/priv密钥对,并将pubkey返回给js客户端(这里是指向javascript实现的链接)只接受对JSON URL的POST请求。这不会阻止有决心的人访问它,但会阻止随意浏览。您可能需要某种基于cookie的身份验证。此外,Ignacio在使用POST方面有一个很好的观点。这有助于防止在域上运行不受信任的脚本。然而,我认为使用POST并不是绝对必要的,除非最外层的JSON类型是数组。在您的示例中,它是一个对象。有几种很好的方法来验证客户端
- 按IP地址。在Apache中,使用Allow/Deny指令
- 通过HTTP验证:基本或摘要。这是很好的和标准化的,并且使用用户名/密码进行身份验证
- 靠饼干。你得拿出饼干来
- 通过您发明的自定义HTTP头
一开始我没有意识到客户端代码正在调用您的web服务。如果让客户端Javascript直接调用您的web服务,那么实际上是不可能阻止人们直接调用您的web服务的。有人可以阅读源代码。这里有一些更具体的答案,但我想提出以下要点:
通过AJAX完成的任何操作都将由用户的浏览器加载。如果你愿意,你可以让黑客的生活变得艰难,但最终,没有办法阻止我获取你已经免费提供给我的数据。任何公开可用的服务都是公开可用的,简单明了。您可以添加一个随机数作为标志,以确定请求是否来自刚刚发送的页面: 1) 生成
index.htmlhttp://example.com/json/?zipcode=12345http://example.com/json/?zipcode=12345&f=234234234234234234index.html4) 在响应结束或超时触发时清除会话上下文。当人们在网页上下文中说“JSON”时,他们通常指的是XHR,如果不加区别地使用,XHR将阻止拒绝。我相信如果我使用此方法,将拒绝所有人访问我的网站。。。这意味着,如果您指定拒绝所有人访问您的网站,那么这将不起作用。您可以根据位置添加拒绝/允许。。。。约书亚,黑客究竟从哪里来?从他最初的问题(在编辑之前)来看,我觉得他想限制对该服务的访问,只有服务器才能调用该服务。他添加了澄清的编辑,现在解释显然是不正确的?我认为您只能执行GET请求。XmlHttpRequest可以执行任何方法,包括您编写的方法。打开请求时的第一个参数是方法,它是一个任意字符串。“允许/否认”不起作用吗?因为那会否定每个人