网站是在JSF,Servlet上开发的。在我的网站上,我接受来自几个使用HTTP POST方法的受限网站的数据提交。我们交换一些安全密钥,以确保正确的源正在发送数据。
但是有没有办法确保数据仅从特定域/IP地址提交?在应用程序级别我可以检查
request.header('Referer')
,但某些代理可能会隐藏引用者。可以在防火墙级别完成此配置吗?
例如。假设我的网站是一个与 www.abc.com 集成的支付网关网站。我只想 abc.com 提交数据。因此,使用 abc.com 的用户应该只能通过 abc.com 向我的网站提交数据,而不是任何其他网站。
您可以使用 ServletRequest.getRemoteAddr() 方法来验证客户端或最后一个代理。
如果您使用的是 apache 服务器,则可以使用
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
这。因此,您可以指定哪些域都可以访问您的应用程序