我用 now.js 在 Node.js 中制作了一些聊天应用程序。现在我想到了一些事情。有两个文件.. server.js 和 client.js,每个人都可以窃取 client.js 文件并在另一个主机上运行它,以获得我的 server.js 工作的好处。我该如何预防?
这是关于 client.js 通过域和端口与主机连接的:
window.now = nowInitialize("http://address.com:6564");
如何使其更安全,例如只有来自我的主机(address.com)的客户端(js 文件)才能与我的主机连接。
如果您担心其他服务器可以将您的服务器与客户端代码一起使用:这应该不是问题,因为Same Origin Policy。只有当您的服务器明确允许时,来自其他主机的客户端才能与其通信。
只需从不同的域名(甚至本地主机)尝试一下:您会看到您的浏览器不允许您发出跨域请求。
(例如,您可以看到这个 StackOverflow 帖子是用户无法让 Socket.IO 在不同的主机/帖子组合上工作。)
更新
它会像这样工作:
您的用户如何在您的聊天中获得身份验证?有注册之类的吗?
也许令牌或安全密钥可以做到这一点?还是带有所述令牌的安全cookie(抱歉......但至少对用户不可见)?如果没有令牌,您就无法访问您的服务?