Jak zabezpecit volani REST API

Napsal TomášX;1582999

ano a pokud nepotřebuješ komunikovat s webem, iframe je super, jen musíš znát přesné rozměry dopředu

Ale porad je to o tom, ze nekdo si ten iframe muze dat z ciziho webu na ten svuj a bude to padat do systemu s identifikatorem toho, komu to ukradl... Protoze iframe budu nacitat z urcite URL, kde budou v GET parametru urcite identifikatory.

@musil.david: Těch 20 webů služby tvého API používá na základě nějaké osobní dohody s jejich majiteli/provozovateli - předpokládám to správně? Víš, jaké jejich servery používají technologie/na čem běží (ASP, PHP, Java, …)? Je možnost, že by souhlasili s tím, že by si formulář odeslali "k sobě", na vlastní server, - a ty bys jim na to dodal jednoduchý skriptík -, kterým by si data zašifrovali a poslali je na tvůj server?

Napsal crs;1583005

@musil.david: Těch 20 webů služby tvého API používá na základě nějaké osobní dohody s jejich majiteli/provozovateli - předpokládám to správně? Víš, jaké jejich servery používají technologie/na čem běží (ASP, PHP, Java, …)? Je možnost, že by souhlasili s tím, že by si formulář odeslali "k sobě", na vlastní server, - a ty bys jim na to dodal jednoduchý skriptík -, kterým by si data zašifrovali a poslali je na tvůj server?

Osobni dohoda samozrejme ano. Myslenka byla takova, ze fungovat to bude prave nezavisle na technologii, protoze teoreticky to u 20 z nich mohu zjistit. Ale kdyz jich bude do budoucna treba 200, jakoze o tom uvazujeme, tak uz to tak nepujde delat. Tva otazka k odeslani na jejich server si myslim, ze je spojena druhou otazkou. A tam bych chtel byt opravdu nezavisly.Zkratka Google Analytics jsou super pripad. Jendoduchy kod si da do webu "kazdy" a uz to meri. Na druhou stranu, tady je problem to odeslani formulare. Tady nekdo rekl, ze to u nekoho na webu muze bloknout CORS.

Napsal musil.david;1583011

Tady nekdo rekl, ze to u nekoho na webu muze bloknout CORS.

S CORS nebude problém, když si na straně serveru ošetříš HTTP OPTIONS požadavky. Pak můžeš na své straně definovat, koho povolíš a komu CORS blokne komunikaci.

Napsal musil.david;1582995

Dekuji vsem za odpovedi, ale tak rikam si... proc neudelat ten iframe ze jo...

Iframe ti to myslím ještě víc zkomplikuje. Je to v podstate samostatny dokument a požadavky z něj na API pak myslím nabudou obsahovat Origin toho volajícího webu, jen parametry z URL toho ifrme. Díky bezpečnostním restrikcím se z toho iframe dokumentu nedostaneš výš (do top window/frame). Taktéž cookies budes mít oddělené. Dá se to tusim řešit na straně serveru, aby ty iframe nešly loadovat do neznámých dokumentů, ale přiznám se, už si to přesně nepamatuju.Co se týká bezpečnosti, jak psal tomáš, tak ano, iframe bezpečnější, ale internet byl navrzen právě tak, aby se daly zdroje linkovat do jednoho dokumentu a jede na tom celý svět. Tím nechci snížit ten bezpečnostní pohled, je to spíš jen otákza priorit. Třeba do účetnictví nebo CPanelu by si asi GA nikdo nenasadil, naopak na blog, proč ne.

Napsal musil.david;1583011

Tady nekdo rekl, ze to u nekoho na webu muze bloknout CORS.

S CORS nebude problém, když si na straně serveru ošetříš HTTP OPTIONS požadavky. Pak můžeš na své straně definovat, koho povolíš a komu CORS blokne komunikaci.