Zugriffserkennung
-
Ist es möglich zu erkennen ob eine json manuell oder über eine ajax(NUR von der eigenen webseite) aufgerufen wird? bzw kann man was dagegen tun dass es nicht manuell aufgerufen werden kann?
maßnahmen wie token usw... sind ja alle ausnutzbar... wenn man will...
nen token müsst ich einfach nur ausm dom suchen und fertig...
gibts da iwas?
-
Nein.
Ist auch komplett unnoetig und generell der falsche Weg.
Erklaere was du machen willst, dann zeige ich dir die Standardloesung dafuer.
Bedenke dass JavaScript vom User ausgefuehrt wird. Eine Trennung wer die Codeausfuehrung angestossen hat ist nicht moeglich - denn im Endeffekt hat der User immer den Code ausgefuehrt.
-
also ich arbeite 99% über eine REST API
jetzt will ich meinen service erweitern und bestimmte module bauen, die auch auf diese api zugreifen. wenn man jetzt schlau ist, kann man sich ja bestimmt denken dass man kein genie sein muss, dass man diese module garnicht braucht, sondern dass man sich den mist auch easy mit javascript selber bauen kann und die module garnicht braucht
und genau das will ich unterbinden. auf die api soll nur die webseite und die module zugrif haben
aber da lauf ich wohl vor ne wand oder?
-
fürs verständnis... diese module sollen auf externen webseiten laufen.
also nur die eigene webseite und diese extern gehosteten module sollen zugriff haben
-
Beschreib mal was du genau willst, weil Cross Domain Ajax calls gehen naemlich garnicht.
Und im 1. Post hast du von Usern geredet die JavaScript calls selber ausfuehren und jetzt redest du von Webmastern die auf ihrer Seite deine JavaScript calls machen.
Ich bin verwirrt.
Generell ist es so, dass man APIs per API Key absichert der auf eine Domain gelockt ist oder aber, was sicherer ist, ueber Request Tokens geht die man sich per authentifizierung erstmal holen muss.