虽然我们可以使用 javascript 获取主机名window.location.hostname但其他用户可以下载 js 并将其作为常量有效主机名传递,但我正在做一些我需要知道脚本托管在哪里并且该 js 的用户无法欺骗它的事情。
我想到的另一个解决方案是使用request.headers.origin但也可以被欺骗。
有没有这样的解决方案,我可以通过它获取托管 js 的主机名,以便我可以限制未经授权使用 js 托管。
我尝试谷歌搜索,但找不到任何解决方案。大多数人建议的解决方案是在仅从js传递js代码后对其进行混淆。
我们能做得更好吗?
你不能。
浏览器中发生的一切完全在用户的控制之下。
如果您不信任用户,那么您就不能信任从浏览器获得的任何信息。
您应该找到一个不太依赖浏览器的信息来源(例如,生成信息服务器端,然后通过使用会话将其与来自浏览器的信息相关联(。