1
是否有可能确保GET/POST请求我的AppEngine应用程序,AJAX与否,只能从应用程序中所做的一个特定的URL,而不是从外部(即)来自其他域的所有请求必须被拒绝。谷歌的AppEngine URL安全
可能吗?
A
回答
5
请求不来自应用程序内或从另一个域。他们来自计算机,通过浏览器,爬行器,脚本或任何程序。这意味着你的问题不是特定于谷歌应用引擎,而是一般的网络编程。脆弱的方法是依靠HTTP_REFERRER,但我不建议这样做。您应该确保您的用户登录,并且只向您认识的用户显示关键信息。
5
除了@klausbyskov说的,你应该看看针对Cross-Site Request Forgery(CSRF)的各种保护机制。从您的应用进行
1
请求(由队列等)是自动管理,所以你可以要求请求由管理员提出。只需添加以下至app.yaml:
- url: /whatever_url_you_want_protected
script: your_app.py
login: admin
也是一个好主意以下跳过的文件添加到您的app.yaml底部:
skip_files: |
^(.*/)?(
(app\.yaml)|
(app\.yml)|
(index\.yaml)|
(index\.yml)|
(#.*#)|
(.*~)|
(.*\.py[co])|
(.*/RCS/.*)|
(\..*)|
(tests/.*)
)$
这适用于GET/POST, ajax,任何类型的请求。
相关问题
- 1. 使用URLFetchService/URL - 谷歌的AppEngine为Java
- 2. 谷歌appengine-db.key()
- 3. 在谷歌的AppEngine
- 4. 环境谷歌Appengine
- 5. 如何在谷歌的AppEngine
- 6. AppEngine安全约束URL模式
- 7. 从AppEngine ImagesService生成安全(https)URL
- 8. 谷歌云邮件安全
- 9. 谷歌登录/ 0auth /安全
- 10. 谷歌Appengine上的django
- 11. 谷歌的AppEngine长为Int
- 12. 问题在谷歌的AppEngine
- 13. 谷歌的AppEngine,NDB和JSON
- 14. FacebookXmlRestClient谷歌AppEngine上的NotSerializableException
- 15. 在谷歌的AppEngine运行
- 16. 名在谷歌的AppEngine
- 17. 启动谷歌的AppEngine devserver
- 18. gwt谷歌appengine与休眠
- 19. 谷歌AppEngine数据库
- 20. 谷歌AppEngine与Silverlight客户端使用谷歌登录
- 21. 验证码与谷歌AppEngine
- 22. 谷歌appengine应用授权
- 23. 谷歌appengine- aptana工作室
- 24. 调试谷歌appengine蟒蛇
- 25. 如何在谷歌appengine ndb
- 26. 谷歌AppEngine(利用USB?)
- 27. 连接iphone与谷歌appengine
- 28. 谷歌Appengine,Django,Haystack和CloudSQL
- 29. 谷歌AppEngine分片问题
- 30. 谷歌appengine给我DownloadError