V💊
эх... у меня вообще SVN вместо гита
я его даже не видел ни разу..
Size: a a a
2020 February 07
YS
На самом деле все не так страшно
B
но опять же лучше иметь один домен и чтобы сайт получал инфу только с него (например та же фигня что домен апишки может быть недоступен у пользователя в отличии от сайта, блокировки итп)
V💊
Ну я например хочу чтобы только мои сайты использовали api. Можно разрешить только определенным но это будет привязка к доменам, проще проксировать
всё равно не защитишься) я тебе как человек занимающийся парсерами говорю хД
B
всё равно не защитишься) я тебе как человек занимающийся парсерами говорю хД
ну я могу поставить ограничение на IP с которого получаю запрос на стороне АПИшки)
B
хотяяя надо подумать)
ДЛ
но опять же лучше иметь один домен и чтобы сайт получал инфу только с него (например та же фигня что домен апишки может быть недоступен у пользователя в отличии от сайта, блокировки итп)
я про тоже. пусть ставят апиху на том же домене
V💊
ну я могу поставить ограничение на IP с которого получаю запрос на стороне АПИшки)
тогда эо будет исключительно внутренний апи без доступа к нему посетителей же
ДЛ
всё равно не защитишься) я тебе как человек занимающийся парсерами говорю хД
от использования напрямую с клиента на других сайтах защитится можно
B
всё равно не защитишься) я тебе как человек занимающийся парсерами говорю хД
ну против селениума приемов наверное нет вообще, но против обычного curl можно.
ДЛ
речь об апи. какой еще селениум
V💊
ну против селениума приемов наверное нет вообще, но против обычного curl можно.
как ты от курла защитишь апи?
ДЛ
теоретически, защиту можно сделать. исполнять код на клиенте, или передавать токен с хтмл страницы с которой будет аякс запрос к апи. т.е. имея голые эндпоинты тебя не пустит
B
как ты от курла защитишь апи?
генерировать на серваке что-то типо crsf и время от времени сверять их
V💊
генерировать на серваке что-то типо crsf и время от времени сверять их
ну ты этот csrf должен как-то на фронт отдать ;)
ДЛ
вот и получится что нужен целый браузер
ДЛ
либо же писать кастомные скрипты - запрашивать курлом хтмл, выдирать токен, стучать в апи с ним
ДЛ
но таким никто не парится. такие апи в основном все и так за авторизацией
ДЛ
с рейт лимитом и со всем на свете
YS
почему не использовать просто jwt?