我们正在考虑将一些工具从 .NET 转换为带有 Web 服务风格后端的 HTML5。后端本身将完全自定义运行在实现 WebSockets 的嵌入式硬件上,这意味着我们可以完全控制。
我遇到的问题是一半的代码将用连接到后端的 JavaScript 编写。理想情况下,我们希望确保除了“我们”之外没有其他人可以做到这一点。我们指的是托管在我们页面中的 JavaScript(由同一个嵌入式网络服务器提供)。
是否有可能阻止任何第三方,或者更具体地说,任何不在我们盒子上的代码调用 Web 服务?
我有一些想法,没有万无一失的各种缺点:
- 确保每个连接的引用地址是 Web 服务器的地址
- 提供页面时,将“种子”嵌入到 JS 中,JS 使用该“种子”连接到 Web 服务器,就像临时通行证一样。只有具有正确种子的请求才会得到服务。
关于如何实现这一点的任何想法都会很棒。我意识到我可能不会得到一个万无一失的系统,但“接近”的东西是可以接受的。