对 Web 小部件的访问受限
Limited access to Web widget
我有一个网站,该网站为一小类数据(例如天文学)提供了很好的基础。对我的内容感兴趣的客户,他们希望我为他们提供完成的块(小部件)以粘贴到他们的站点中。 API 对他们来说很难,他们需要刚刚完成的具有特定信息的块。
我的问题是:是否可以只在我客户的网站上显示小部件以及如何在技术上实现它?如果某个不知名的聪明人将小部件代码复制到他的站点,他将看不到小部件内容。
我明白HTTP_REFERER不适合,因为很容易伪造。技术是什么?我听说过软件令牌和签署请求的能力,但不知道它们是否适合我的情况以及如何实际实施。请推荐?
如果我开始与我的客户合作,那么我会将他们包含到我的数据库中,并且可以存储与他们相关的任何信息
由于 HTTP 访问控制 (CORS),我完成了任务。小部件控制器通过数据库设置管理外部请求:
- 客户编号
- 客户日期范围限制
- 用于 "Access-Control-Allow-Origin" header
的客户域
因此即使他们复制了小部件代码,未知客户也无法在他们的网站上呈现我的小部件。
小部件内容通过 ajax 请求从外部 JS 动态加载到客户端 iframe 中。这确保了客户网站上的异步数据加载,并且只允许具有已知域的授权客户端加载小部件内容
我有一个网站,该网站为一小类数据(例如天文学)提供了很好的基础。对我的内容感兴趣的客户,他们希望我为他们提供完成的块(小部件)以粘贴到他们的站点中。 API 对他们来说很难,他们需要刚刚完成的具有特定信息的块。
我的问题是:是否可以只在我客户的网站上显示小部件以及如何在技术上实现它?如果某个不知名的聪明人将小部件代码复制到他的站点,他将看不到小部件内容。
我明白HTTP_REFERER不适合,因为很容易伪造。技术是什么?我听说过软件令牌和签署请求的能力,但不知道它们是否适合我的情况以及如何实际实施。请推荐?
如果我开始与我的客户合作,那么我会将他们包含到我的数据库中,并且可以存储与他们相关的任何信息
由于 HTTP 访问控制 (CORS),我完成了任务。小部件控制器通过数据库设置管理外部请求:
- 客户编号
- 客户日期范围限制
- 用于 "Access-Control-Allow-Origin" header 的客户域
因此即使他们复制了小部件代码,未知客户也无法在他们的网站上呈现我的小部件。
小部件内容通过 ajax 请求从外部 JS 动态加载到客户端 iframe 中。这确保了客户网站上的异步数据加载,并且只允许具有已知域的授权客户端加载小部件内容