0

网站是基于JSF、Servlet开发的。在我的网站中,我接受来自少数使用 HTTP POST 方法的受限网站的数据提交。我们交换一些安全密钥以确保正确的来源正在发送数据。

但是有什么方法可以确保数据只从特定的域/IP地址提交?在应用程序级别我可以检查

request.header('Referer')

,但某些代理可能会隐藏引用者。此配置可以在防火墙级别完成吗?

例如。假设我的网站是一个支付网关网站,与 www.abc.com 集成。我只希望 abc.com 提交数据。因此,使用 abc.com 的用户应该只能通过 abc.com 向我的网站提交数据,而不能通过任何其他网站提交数据。

4

2 回答 2

0

如果您使用的是 apache 服务器,则可以使用

Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx

这个。因此,您可以指定哪些所有域都可以访问您的应用程序

于 2012-11-16T14:57:04.760 回答
0

您可以使用ServletRequest.getRemoteAddr()方法来验证客户端或最后一个代理。

于 2012-11-16T14:49:47.913 回答