如何限制对我的网络服务的访问？

Question

我有http://example.com/index.html，从HTML中使用JavaScript（的XmlHttpRequest）在http://example.com/json/?a=...&b=...

调用Web服务的Web服务回报index.html信息的JSON数组，然后被显示在index.html。

由于任何人都可以查看源代码index.html，看我如何调用JSON Web服务（http://example.com/json/），如何防止人直接叫我的JSON的web服务？

由于Web服务本质上是一个开放的读到我的数据库，我不希望人们滥用网络服务，并开始直接从Web服务获取数据，启动DoS攻击我的服务器，比获取更多信息他们应该等。

UPDATE：

有没有办法来限制http://example.com/json/只请求来自同一服务器（IP）和http://example.com/index.html URL请求？

含义，不能http://example.com/json/检测到请求人是（$_SERVER['REQUEST_URI'] == http://example.com/index.html），只允许？

Answer 1

有很多事情可以为您的服务添加安全性。检查此out

Answer 2

您无法正确保护可从客户端JavaScript调用的Web服务。

您可以尝试通过模糊处理技术（如javascript混淆）来实现安全性，但它不会阻止某人的动机。

Answer 3

有没有简单的方法来防止那。如果你的服务不是非常受欢迎，因此可能成为拒绝服务攻击的目标，我不会打扰。

我想到的一件事是使用一次性令牌（有效的10或100个请求）。

其他（朴素的）方法是检查请求中是否存在X-Requested-With标头，但当然这可能很容易被伪造。所以，我的建议是：什么也不做，除非问题是真实的。

还有一个想法：hash calc。这个想法是要求客户端对每个请求执行相当昂贵的计算，同时验证服务器端的计算是便宜的。对于单个请求，开销非常小，但对于1000个请求而言，可能需要大量的CPU时间。我不知道hashcalc是否已被用于防止拒绝Web服务。几年前它被提议为反垃圾邮件措施，但从未流行。

Answer 4

答案很简单，使用CSRF保护。 http://en.wikipedia.org/wiki/Cross-site_request_forgery

简单地说，当用户来到你的网站（的index.php），把会话： CSRF =（RANDOM_HASH）

询问JSON请求，example.com/json.php?hash=$_SESSION['CSRF']

而且在JSON。php检查是否$_GET['hash']匹配$_SESSION['CSRF']

这样简单... 它是服务器端解决方案！

Answer 5

我会跟踪IP地址发出请求的。如果您看到来自相同IP的大量请求，则可以阻止它或提供验证码。