保护本地主机 JavaScript ajax 请求

Question

我编写了一个应用程序，python 充当一个简单的 Web 服务器（我为此使用了 Bottle 框架）和一个 HTML + JS 客户端。整个事情在本地运行。在这种情况下，网页充当 GUI。

在我的代码中，我实现了一个文件浏览器界面，因此我可以从 JavaScript 访问本地文件结构。

服务器只接受本地连接，但困扰我的是：例如，如果有人知道我在本地运行我的应用程序，并伪造一个向本地主机发出 AJAX 请求的站点？我以某种方式访问​​了他的网站，我的本地文件会被攻击者看到吗？

我的主要问题是：有什么方法可以确保这一点？我的意思是我的服务器会确定请求来自我本地提供的文件？

Answer 1

防止这种攻击的最直接方法是每个请求都需要一个长而复杂的密钥。只需在处理请求之前让您的本地代码进行身份验证即可。这实质上就是保护 Internet 上的 Web 服务的方式。

您可能还想考虑以其他形式（如 DBUS 或 unix 套接字）进行进程间通信。我不确定您使用的是哪个操作系统，但进程间通信有很多选项不会让您以这种方式受到攻击。