Sto lavorando a un'applicazione che può essere aggiunta a siti Web di terze parti. Ciò significa che questa app viene eseguita nei browser degli utenti di terze parti e non ho il controllo su ciò che viene eseguito nel loro server.
Il mio problema è che la mia app deve caricare i dati dal mio server. Come posso proteggere il mio server in modo che non perda dati a utenti malintenzionati che provano a raschiare il mio database attraverso gli endpoint REST del mio server?
Non posso utilizzare le whitelist poiché l'utente può essere ovunque. Attualmente utilizzo hmac s ma questo non farà altro che fermare gli script kiddies dal disassemblare il codice client e inviare i propri messaggi crittografati.
Esiste una best practice per questo problema?