跨域 API 访问安全

Question

这是一个关于跨域 API 安全的问题。提出这个问题以便对其他人有用的最好方法是通过一个假设的例子。

• 域 APIHOST.COM 希望允许访问其资源到 FRIENDLYSITE1.COM 和 FRIENDLYSITE2.COM（但不允许其他域）
• FRIENDLYSITE 归他人所有，APIHOST 没有直接的服务器访问权限。他们可能正在运行任何服务器技术。他们愿意托管额外的内容，但不要太复杂。

当 Bob 使用他的网络浏览器访问 FRIENDLYSITE1.COM 时，他的 FRIENDLYSITE1.COM（或 APIHOST.COM）的凭据是不相关的。应在 APIHOST.COM 和 FRIENDLYSITE1.COM 之间处理安全问题。

我研究了所有跨域请求技术（CORS、iFrames、JSONP），但所有这些技术都假设安全性应该来自浏览器 Bob，而不是来自 Bob 正在访问的 FRIENDLYSITE1.COM 域.

有没有办法在不涉及 Bob 和他的浏览器的情况下，在两台服务器之间处理安全性的跨域 API 访问？

Answer 1

如果您想保护两台服务器之间的通信，那么您将需要使用安全传输（如 https）并使用一些仅提供给您希望允许访问的站点的凭据。

如果您愿意，这些凭据可以像用户名和密码一样简单。在这种情况下，您将向 FRIENDLYSITE1.COM 提供一些凭据，并且每当它想与 APIHOST.COM 建立连接时，它将在每个 API 请求中包含这些凭据（或者您的 API 可能支持创建 cookie 的登录，然后可以用于后续 API 调用）。

---

另一方面，如果您的问题的真正意思是 FRIENDLYSITE1.COM 托管的网页中包含 Javascript，并且这些网页中的 Javascript 想要访问 APIHOST.COM，那么就是不同的情况。由于这种情况实际上是从用户计算机上的浏览器连接的（一个不安全的环境），因此您使用前面示例中的凭据会将这些凭据公开给任何人，因此它们不再是秘密的。

在这种情况下，您能做的最好的事情是为 CORS 启用 APIHOST.COM，并且只允许站点 FRIENDLYSITE1.COM 和 FRIENDLYSITE2.COM 访问 COR。这将阻止来自任何其他站点的任何网页从浏览器访问 APIHOST.COM，但不会阻止任何服务器或任何服务器代理访问 APIHOST.COM。基本上不可能允许从特定网页访问，但不允许从其他任何地方访问。这是因为网页是完全不安全的，因此您不能使用网页中的凭据，而是将其保密。