我创建了一个 Web 小部件,用于显示来自我的站点的用户特定信息。这个小部件是基于 java 脚本的(我按照这个例子),并且可以嵌入到其他站点中。
我正在寻找一种方法来控制谁可以将小部件嵌入他的网站。欢迎任何想法/参考。
问问题
1684 次
2 回答
1
除了直接提供文件之外,您还可以尝试使用request.referer并且仅可选择地根据已批准的 Web 主机列表发送 JavaScript 文件(通过控制器操作)。您可以使用 send_file 方便地将 JavaScript 发送到客户端(在 HTTP 标头中设置缓存选项,以便浏览器不会重复请求文件)。但是,引荐来源网址可能会被欺骗,并且可能不会被发送,具体取决于 HTTPS => HTTP 配置。
您还可以考虑为您的 JavaScript 文件要求一个 API 密钥(只需将其作为 JavaScript 文件请求的一部分附加)。虽然它无论如何都不是万无一失的,但它使跟踪使用变得更加简单。(并且通过使用日志,您可能能够发现非法用途)。
于 2012-10-21T14:54:47.377 回答
0
您必须与 OAuth 一起使用一些额外的技巧才能正确识别客户端。
这个问题在这里得到了详细的回答。
于 2012-12-15T06:58:42.303 回答