다른 사이트에서 내 사이트의 json 데이터를 얻을 수 있도록 jsonp를 제공하고 싶습니다. 쿠키를 사용하여 사용자를 인증하면 브라우저가 모든 요청과 함께 쿠키를 내 사이트에 보내므로 악의적 인 페이지가 사용자의 요청에 대해 인증없이 요청할 수 있으므로 위험한 것임을 이해합니다.인증 헤더가 필요한 경우 jsonp를 제공하는 것이 안전합니까?
요청시 특수 헤더 (X-AG-AUTH
)를 사용하여 서비스 요청을 인증해야합니다. 사용자를 식별하는 비밀 토큰이 해당 헤더에 설정되어야합니다.
비밀 토큰을 제공하지 않고도 악의적 인 사이트가 jsonp를 통해 내 서비스에서 데이터를 가져올 수 있습니까?
악의적 인 사용자가 실제 사용자로부터 인증 키를 받고 알 수 없게 도용 할 수있는 문제가 있습니까? JSONp의 요점은 JS에서 사용할 수 있다는 것이고 JS는 100 % 공개 될 것입니다. 사용할 수있는 한 가지 기술 (사용자의 관점에서 보면 꽤 귀찮음)은 사용자가 아닌 도메인에 키를 연결하는 것입니다. 그런 다음 요청을 받으면 참조자를 확인할 수 있습니다. – sdleihssirhc
요청에는 각 사용자에 대한 비밀이 있어야하므로 한 사용자가 다른 사용자의 데이터에 액세스 할 수 없습니다. 비밀은 반드시 사용자의 기본 비밀번호가 아니며 사이트/사용자 조합을 식별하는 일부 식별자입니다. 하지만 내 질문은 : 사용자가 사이트를주지 않는 경우 –