1UnitedPower: Ressourcen nur an bestimmte Webseiten ausliefern

Beitrag lesen

Zudem gibt es bei Cookies (welche ja auch bei Sessions im einsatz sind) die Beschränkung auf Domains. Würde man von der fremden Seite zugreifen, würde das Cookie nicht von der Richtigen Seite gesetzt und somit vom Browser nicht mitgesendet. Zwar keine Volle sicherheit, dürfte aber schon einschränken.

Nein, der Cookie kommt ja gerade von der Seite, die die API zur Verfügung stellt und nicht von der anfragenden Seite.

Will man es übertreiben, könnte man noch die IP der Anfragenden beim ersten Aufruf der Seite speichern und bei den AJAX-Anfragen dagegen prüfen. Ich glaub aber, dass einige Maßnahmen mehr Last bringen, als Sie dann wirklich vermeiden.

Das wäre eine Möglichkeit, wenn man sich sicher sein kann, die die IP-Adressen der Server statisch sind oder zumindest nur selten ändern.