web-dev-qa-db-ja.com

私のフロントエンドだけを提供する自身のバックエンドAPIを保護する方法は?

私はフロントエンドとFrontend Soyeyと通信するバックエンドを持つWebアプリを設定しています。バックエンドのエンドポイントが自分のフロントエンドによってのみアクセスされることを確認するにはどうすればよいですか。これについて多くの情報が見つかりません。

pythonsecurityfalconframework
15
Donald

  1. コルズを見てください。そして、サーバーに特定の起源へのアクセスのみを許可していることを確認してください。

  2. バックエンドで - X-Requested-Withヘッダーが要求に存在し、XMLHttpRequestに設定したかどうかを確認してください。適切なCORSハンドシェイクがなければ、このヘッダーは不在です。

そうは言っても、これはあなたのAPIがその他のフロントエンドアプリによって使用されてからブラウザのアドレスバーから直接アクセスされるのを防ぐことができます - コルズを尊重します。人々はまだプログラム的にリクエスト/ CLIを要求し、ヘッダを望むものに設定することができます。

だから、これは実際には虐待を防ぐための方法だけではないことです。

1
Alex