Asp.net Web Api 访问限制到特定网站
Asp.net Web Api access restricting to specific website
通过使用 referrer-url
限制对特定网站的 Web Api 调用是否是一个好的架构实践
这种方法会有任何安全缺陷,请指导最佳实践(如果有的话)(我们不使用 Asp.net 身份,这是完全自定义的身份验证)
要求特定的 HTTP Referer header 不是安全措施,而是隐蔽措施。任何知道或拦截此 header 的客户端都可以调用您的 API,唯一的区别是现在 稍微 更难构建工作请求。
这是否是一种足够强大的安全措施取决于您的应用程序要求。如果您的 re-transmitting 信息已经通过您的 WebApi public,那么可能需要考虑(与 HTTPS 一起)只是为了避免对您的 API 的 DOS 攻击。如果您接受用户个人信息、付款信息或进行银行转账,您显然需要除此之外的额外安全措施。
通过使用 referrer-url
限制对特定网站的 Web Api 调用是否是一个好的架构实践这种方法会有任何安全缺陷,请指导最佳实践(如果有的话)(我们不使用 Asp.net 身份,这是完全自定义的身份验证)
要求特定的 HTTP Referer header 不是安全措施,而是隐蔽措施。任何知道或拦截此 header 的客户端都可以调用您的 API,唯一的区别是现在 稍微 更难构建工作请求。
这是否是一种足够强大的安全措施取决于您的应用程序要求。如果您的 re-transmitting 信息已经通过您的 WebApi public,那么可能需要考虑(与 HTTPS 一起)只是为了避免对您的 API 的 DOS 攻击。如果您接受用户个人信息、付款信息或进行银行转账,您显然需要除此之外的额外安全措施。