[英]validate HTTP requests with header “origin”
問題,我可以依靠“ origin”標頭僅接受來自https://domain2.com的請求嗎?
請注意,兩個網站均受SSL保護
就像這樣:
$headers = getallheaders();
if($headers['origin'] != 'https://domain2.com'){
return FALSE;
}
依賴Origin頭類似於依賴Cookie。 行為良好的客戶端(例如瀏覽器)將使用正確的值發送該客戶端。 攻擊者只會將其欺騙到所需的任何價值,以使您的服務正常工作。
您可以將其用作阻止某人直接從瀏覽器使用其站點上的API的方法。 您不能使用它來阻止某人通過代理使用您的API或直接訪問它來下載數據。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.