使用标头“ origin”验证HTTP请求

用户名
  1. 我在https://domain1.com中有一个REST API
  2. 我只想接受来自https://domain2.com的请求

问题,我可以依靠“ origin”标头仅接受来自https://domain2.com的请求吗?

请注意,两个网站均受SSL保护

会是这样的:

$headers = getallheaders();
if($headers['origin'] != 'https://domain2.com'){
    return FALSE;
}

依赖Origin头类似于依赖Cookie。行为良好的客户端(例如浏览器)将使用正确的值发送该客户端。攻击者只会将其欺骗到所需的任何价值,以使您的服务正常工作。

您可以将其用作阻止某人直接通过浏览器在其网站上使用您的API的一种方式。您不能使用它来阻止某人通过代理使用您的API或直接访问它来下载数据。

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

使用AngularJS发送HTTP标头请求

来自分类Dev

使用AngularJS发送HTTP标头请求

来自分类Dev

HTTP请求标头

来自分类Dev

Soap身份验证标头和使用PHP的请求

来自分类Dev

Soap身份验证标头和使用PHP的请求

来自分类Dev

如何使用Mechanize获取请求标头?

来自分类Dev

如何使用AFNetworking添加请求标头?

来自分类Dev

在@PreAuthorize中使用请求标头值

来自分类Dev

如何使用Mechanize获取请求标头?

来自分类Dev

如何使用AFNetworking添加请求标头?

来自分类Dev

使用Plug验证特定端点的标头

来自分类Dev

使用Python请求模块获取HTTP响应标头

来自分类Dev

无法使用Axios从Http POST请求获取标头

来自分类Dev

使用WebView2编辑HTTP请求标头

来自分类Dev

使用 URL 对象发送 HTTP 请求但添加标头

来自分类常见问题

使用RestTemplate的HTTP获取标头

来自分类Dev

使用非英语字符的HTTP标头

来自分类Dev

TSung HTTP无法使用标头

来自分类Dev

如何使用Bash解析HTTP标头?

来自分类Dev

使用 JavaScript 打印网页的 HTTP 标头

来自分类Dev

预览请求的标准HTTP请求标头

来自分类Dev

使用Stream时使用请求标头传递参数

来自分类Dev

如何使用请求发送带有标头的PATCH请求

来自分类Dev

Laravel:使用自定义请求标头测试路由

来自分类Dev

使用自定义标头获取请求失败

来自分类Dev

Spring @JsonView如何使用请求参数或标头

来自分类Dev

使用.htaccess阻止基于引用标头的POST请求

来自分类Dev

使用请求标头访问Android中的REST API

来自分类Dev

使用jQuery Ajax设置多个请求标头