Come dovrei convalidare una chiave API per un servizio web distribuito tramite iframe?

Question

Come dovrei convalidare una chiave API per un servizio web distribuito tramite iframe?

#1 da (1 voti)

0

Sto lavorando su un piccolo servizio Web che fornisce alcune funzionalità che possono essere incorporate in una pagina Web con un iframe. Poiché si tratta di un servizio basato su abbonamento, mi piacerebbe essere in grado di gestire chi può e non può accedere alle funzionalità in questione tramite le chiavi API.

La mia comprensione è che un approccio popolare è incorporare una chiave API nella risorsa, ad esempio:

<iframe src='http://service.com/API_KEY_GOES_HERE/' height='750' width='640'>

Quando il server riceve una richiesta dal client, fa una ricerca sul referrer per assicurarsi che il sito che richiede la risorsa sia autorizzato ad accedervi.

La mia domanda è la seguente: i riferimenti non possono essere falsificati e questo non renderebbe banale l'aggiramento di questo sistema? Cosa mi manca?

web-application user-management

posta blz 23.06.2014 - 02:11

fonte

1 risposta

Leggi altre domande sui tag web-application user-management

Prevenzione da script cross-site in scenari diversi? Come si costruisce un attacco XSRF usando un iframe?

score 1 · Accepted Answer

I referrer possono essere falsificati, ma solo dallo user-agent. Un altro sito web che incorpora un iframe con la chiave API non sarebbe in grado di controllare il referrer dei suoi utenti. Pertanto, se il tuo obiettivo è impedire ai siti di clonare le chiavi API, in genere il controllo referrer funzionerà.

Ricorda che il referrer non viene inviato se vai a https - > http e alcuni utenti potrebbero avere i browser impostati per non inviare il referrer.