Javascript-仅允许来自授权站点的请求

谷歌Adsense有一个授权网站功能

他们是如何使用客户端包含来实现这一点的

我问的原因是因为我需要验证类似的请求。我的服务器提供了一个javascript包含。我需要接受来自某些URL的请求，而不是其他URL或在localhost上运行它的人

通常我会在服务器上保留一个私有API密钥。但在这种情况下，我不希望人们在他们的服务器上运行另一个脚本

---

我唯一能想到的另一种方法是不要100%，并创建一个匹配算法。

您应该在服务器

警报（！！location.origin.match（“stackoverflow.com”）

的头中修改允许的源代码。真是该死的100%。。。你也可以查看推荐人，这是相当可靠的。查看apache重定向，它可能会攻击推荐人。是的，允许的源代码将阻止毫无戒心的用户在浏览器中运行它。那很好。恶意用户下载、获取JWT并运行脚本会怎么样？@steve76：如果我没弄错的话，没有什么可以阻止。如果代码可以看到，它就可以运行，并且您至少需要一个服务器，理想情况下需要身份验证来控制谁可以看到什么。默认情况下，js可以在任何页面上运行，但如果你想“隐藏代码”，那就别管它了。这是一个ddos问题。我还打赌adsense会让广告商把代码放在他们的登陆页面上，然后报告推荐人。