如何为用户提供一个javascript小部件,以便从我的网站安全地提取内容

我需要允许来自我们网站的内容嵌入其他用户网站.该conent将是收费的所以我需要保持安全,但其中一个要求是订阅网站只需要将一些javascript放入他们的页面.

看起来保护我们内容的唯一方法是检查托管我们的javascript的页面的URL与订阅站点匹配.有没有其他方法可以做到这一点,因为我们不知道将访问订阅网站的客户端浏览器？

最好的方法是在页面加载时提供填充已知页面元素的javascript包含文件吗？我正在考虑使用jquery,因此include文件将首先在jquery中调用(检查它是否已经加载并使用某种命名空间保护),然后在页面加载时填充给定的元素.

我想尽可能包含一个样式表来设置元素的样式,但我不确定我是否可以将其与javascript一起加载.

这听起来像是一种合理的方法吗？还有什么我应该考虑的吗？

提前致谢,

麦克风

看起来保护我们内容的唯一方法是检查托管我们的javascript的页面的URL与订阅站点匹配.

啊,但在客户端或服务器端代码？

他们都有自己的缺点.使用服务器端代码是不可靠的,因为有些浏览器根本不会传递Referer标题,如果你想阻止缓存保留脚本副本,阻止Referer-check发生,你必须服务于nocache或Vary: Referer标头,会损害性能.

另一方面,通过返回的脚本中的客户端检查,您无法确定您正在运行的环境是否已被破坏.例如,如果您的包含脚本标记如下:

并且您的服务器端脚本被查找123为使用域的客户的ID customersite.foo,它可能会响应脚本:

if (location.host.slice(-16)==='customersite.foo') {
    // main body of script
} else {
    alert('Sorry, this site is not licensed to include content from example.com');
}

这似乎很简单,除了包含站点可能已经替换String.prototype.slice为始终返回的函数customersite.foo.或者脚本体中使用的各种其他函数可能是可疑的.

包含

mylvfamily

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

• actionscrip
• bash
• c#
• c++
• c语言
• erlang
• flutter
• go
• golang
• java
• javascript
• lua
• node.js
• perl
• php
• python
• scala
• typescript

RankList | 热门文章

• 1空列表和空列表有什么区别？
• 2perl基础知识 - SHIFT功能如何工作
• 3将Python Pandas数据帧上传到MySQL - InternalError:1366,"不正确的字符串值"
• 4删除Realm中的列
• 5Symfony2-如何在准则2中查询带有条件的左联接
• 6处理抽象类和类型参数固有的类
• 7用户下订单时调用函数(实际上是API调用)
• 8如何以编程方式禁用接近传感器
• 9如何将指针作为迭代器返回？
• 10This()vs Target()aspectj
• 11django foreignkey(用户)的模特
• 12如何添加EXIF信息以在.NET中对图像进行地理标记？
• 13尝试在Visual Studio 2013中引用静态库项目时出现链接器错误
• 14当页面在每页上空闲3秒钟时,移至下一页和后续页面
• 15二进制搜索树优于C++中的向量
• 16使用'_'React/React-native为函数名添加前缀是什么意思？
• 17仅在特定设备上的SurfaceView中的ANR - 唯一的解决方案是短暂的睡眠时间
• 18ImageMagick撰写:args =""到Magick ++ API
• 19使用控制台应用程序时数据未插入数据库
• 20从Dropzone.js表单中删除上传的文件