如何发出不可伪造的跨域请求

Question

我需要从 Site B 获取一些数据到 Site A 的服务器端。为了向站点 B 发出请求以检索数据，需要存在与站点 B 的域关联的 Cookie。我想我因此需要使用 JSONP 在 javascript 中执行此操作？

我的想法是使用 JavaScript 向 B 发出请求，然后捕获结果并将其粘贴到 A 域上的 cookie，以便后续向 A< /code> 将携带带有返回数据的 cookie（向 A 发送两次请求才能将信息发送到 A 的服务器端并不重要）。这会工作得很好，除了它完全可以破解。

数据本身并不秘密，但我需要防止请求伪造或 Site A 上的人员手动调用 JSONP 回调函数，或通过窃取或其他方式手动设置 A cookie伪造的数据。另外，还有其他的黑客漏洞吗？这也是需要预防的！

我能想到的唯一方法是：

Site A 生成一个随机令牌并将其存储在会话中。然后，它将此令牌附加到对 Site B 的 JSONP 请求的查询字符串中。然后，站点 B 做出响应，但使用数字签名对常用数据以及令牌进行加密。然后，站点 A 将此值粘贴到 A 上的 cookie 中。在下一个对A的请求中，A的服务器端可以捕获cookie，获取值，解密它，检查令牌并是否与会话中的值匹配，相信其余的数据。

这听起来合理吗？有更简单的方法吗？我的目标是降低 A 端的复杂性。

谢谢

Answer 1

避免被黑客攻击的方法是让站点直接相互通信，而不是使用客户端 JavaScript。编写一个小型轻量级 REST API，允许数据在后台、服务器到服务器之间传输。

链接到站点 A 时，请在 URL 中包含身份验证令牌，然后可以使用对站点 B 的幕后调用来检查该令牌。此调用可以传输任何其他所需信息。令牌可能应该是 IP 绑定的，并在使用后过期。成功后，您可以在站点 A 中设置您的 cookie 信息，以避免进一步的往返。

Answer 2

您可以使用 easyXDM 在域之间进行通信。有了它，您就有了两个 javascript 程序，一个在消费者域上，另一个在提供者域上，它们可以断言消费者的域。这两个程序都可以与用户交互，并且用户可以向双方验证自己的身份。由于提供商程序知道用户是谁，并且知道消费者是谁，因此提供商可以将其想要的任何数据传递给消费者。

Twitter、Disqus 和 LinkedIn 等大公司的 API 就是采用这种方式。