我们有一个网页,我们通过iFrame向合作伙伴公司提供。 iFrame包含几个javascript文件,它们向我们的服务器发送ajax请求以获取数据。 iFrame本身需要一个API密钥,该密钥是合作伙伴的域名。这可以防止iFrame安装在未注册的域上。但是,从注册站点简单复制iFrame的内容和JavaScript文件并将它们托管在非注册站点上将非常容易。如何通过AJAX请求验证用户?
理想情况下,我们希望使用API密钥来限制Ajax请求,并阻止我们的服务器为非注册网站提供请求的数据。但是,似乎没有为Ajax请求设置HTTP_REFERER服务器变量。我们如何知道请求来自哪个网站?可能吗?如果不是,我们如何防止未经授权的访问?