对 Web 小部件的访问受限

Question

我有一个网站，它的基础非常好，可用于存储狭窄类别的数据（例如天文学）。对我的内容感兴趣的客户，他们希望我获得完成的块（小部件）以粘贴到他们的网站中。 API 对他们来说很难，他们需要刚刚完成的带有特定信息的块。

我的问题是：是否可以仅在客户的网站上显示小部件以及如何在技术上实现它？如果某个不知名的聪明人将小部件代码复制到他的网站，他就看不到小部件的内容。

我知道 HTTP_REFERER 不适合，因为它很容易伪造。什么是技术？我听说过软件令牌和签署请求的能力，但不知道它们是否适合我的情况以及如何实际实施。请推荐？

如果我开始与客户合作，那么我会将他们包含在我的数据库中，并可以在那里存储与他们相关的任何信息

Answer 1

由于 HTTP 访问控制 (CORS)，我完成了任务。 Widget 控制器通过数据库设置管理外部请求：

• 客户 ID
• 客户日期范围限制
• 用于“Access-Control-Allow-Origin”标头的客户域

因此，即使他们复制了小部件代码，未知客户也无法在他们的网站上呈现我的小部件。

Widget 内容通过 ajax 请求从外部 JS 动态加载到客户端 iframe。这确保了客户网站上的异步数据加载，并且只允许具有已知域的授权客户端加载小部件内容