On ne peut dire que cela est partiellement interdit.
Définissez un agent utilisateur spécial avant de l'appeler dans l'application, tel que "Ma propre application". Lorsque le programme démarre, vérifiez l'agent utilisateur envoyé par le navigateur. S'il ne s'agit pas de "Ma propre application", une erreur sera signalée. directement.
Mais si vous rencontrez un expert, il peut forger un agent utilisateur à volonté. Tant qu'il intercepte la communication entre votre application et votre serveur, il peut savoir quel type d'agent utilisateur vous utilisez, puis forger un suiveur dans le navigateur. Exactement la même chaîne que vous avez demandée fera l'affaire.
Obtenez l'heure actuelle, puis ajoutez du sel et cryptez-la, envoyez-la au serveur pour analyse via l'URL ou l'UA, comparez l'heure analysée avec l'heure du serveur et jetez toute heure qui dépasse 1 minute. De cette façon, même si quelqu'un d'autre forge un UA, il ne peut l'utiliser que pendant 1 minute, puis en forger un nouveau.
Si vous utilisez l'interface http, vous pouvez aussi bien ajouter une couche de logique d'authentification Ou utiliser une interface non-http, afin que le côté Web ne puisse pas l'appeler
La solution ultime est que @markov a dit d'activer l'authentification bidirectionnelle de https côté serveur. Pour être plus simple, vous pouvez également utiliser l'application pour générer un code de vérification et le transmettre au serveur sous forme d'en-tête http. Le serveur obtiendra le code de vérification, le décryptera et le vérifiera.
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
On ne peut dire que cela est partiellement interdit.
Définissez un agent utilisateur spécial avant de l'appeler dans l'application, tel que "Ma propre application". Lorsque le programme démarre, vérifiez l'agent utilisateur envoyé par le navigateur. S'il ne s'agit pas de "Ma propre application", une erreur sera signalée. directement.
Mais si vous rencontrez un expert, il peut forger un agent utilisateur à volonté. Tant qu'il intercepte la communication entre votre application et votre serveur, il peut savoir quel type d'agent utilisateur vous utilisez, puis forger un suiveur dans le navigateur. Exactement la même chaîne que vous avez demandée fera l'affaire.
Obtenez l'heure actuelle, puis ajoutez du sel et cryptez-la, envoyez-la au serveur pour analyse via l'URL ou l'UA, comparez l'heure analysée avec l'heure du serveur et jetez toute heure qui dépasse 1 minute. De cette façon, même si quelqu'un d'autre forge un UA, il ne peut l'utiliser que pendant 1 minute, puis en forger un nouveau.
Authentification client https
Si vous utilisez l'interface http, vous pouvez aussi bien ajouter une couche de logique d'authentification
;Ou utiliser une interface non-http, afin que le côté Web ne puisse pas l'appeler
La solution ultime est que @markov a dit d'activer l'authentification bidirectionnelle de https côté serveur.
Pour être plus simple, vous pouvez également utiliser l'application pour générer un code de vérification et le transmettre au serveur sous forme d'en-tête http. Le serveur obtiendra le code de vérification, le décryptera et le vérifiera.