我正在创建一个安全系统,该系统从其他域获取创建令牌的请求并发送回。为了保护我的系统,我希望每个请求都只来自浏览器,而不是像Postman等任何浏览器扩展。
您可以检查http-referer是否正确,并验证用户代理。但是,这两个值都可以手动设置。
您可以使用的另一件事是为您的呼叫实现CSRF令牌。
我正在创建一个安全系统,该系统从其他域获取创建令牌的请求并发送回。为了保护我的系统,我希望每个请求都只来自浏览器,而不是像Postman等任何浏览器扩展。
您可以检查http-referer是否正确,并验证用户代理。但是,这两个值都可以手动设置。
您可以使用的另一件事是为您的呼叫实现CSRF令牌。