Puncte:0

Cum să restricționați accesul la API la portalul rulat în browser prin Nginx

drapel lk

Scenariu

Am un sistem cu un server API și un front end (site-ul web static rulează pe browsere) și sunt disponibile public sub 2 nume de domenii a.example.com și a-api.example.com

Întrebare

Cum restricționez accesul la API-ul meu de la a-api.example.com numai pentru front-end-ul meu (de exemplu, nimeni nu poate în mod arbitrar răsuci la el și să poată accesa)? Sau este posibil deloc?

Dacă puteți adăuga un exemplu de bloc nginx, ar fi minunat.

Puncte:1
drapel us

Nu puteți bloca complet apelurile curl.

Cu toate acestea, le puteți face mai dificile, solicitând ca antetul referitor HTTP să fie setat la API. Poți să folosești Modulul de referință HTTP nginx pentru asta. Un exemplu de configurare:

Server {
    valid_referers a-api.example.com;

    dacă ($invalid_referer) {
        întoarce 403;
    }
}

Acest lucru nu adaugă nicio securitate site-ului dvs. Este banal ca un actor rău să adauge antetul HTTP necesar atunci când face cereri către a-api.example.com.

Prin urmare, este important ca cele mai bune practici de securitate să fie utilizate în implementarea dvs. API.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.