Je dois passer un appel ajax depuis un site vers un service exposé sur un autre site et un autre serveur et je dois le sécuriser, de sorte que je suis sûr que l'appel est un appel réel du site client et forme.Sécurisation des appels ajax
Quelles sont les meilleures méthodes pour l'obtenir?
Je voudrais créer un service sur votre serveur pour faire l'appel à l'autre site, et implémenter n'importe quel type d'assainissement là. Les appels inter-sites inter-sites ne sont même pas autorisés sur de nombreux navigateurs. À l'extrémité supérieure du spectre de sécurité, vous pouvez demander au serveur de l'application cliente de créer un message signé à l'aide d'une clé privée et d'inclure ce message dans le code html du client.
Ensuite, l'appel ajax transmettait ce message dans son appel, moment auquel le serveur ajax pouvait vérifier.
De manière optimale, le message changerait pour inclure l'ID utilisateur, l'horodatage, etc., de sorte qu'un bon message connu ne puisse pas être sauvegardé et réutilisé par un client malveillant.
Il existe plusieurs approches.
Ce que je préfère, c'est que votre serveur prenne la demande par procuration, de sorte que le client ne parle qu'à votre site.