hi,

Zudem gibt es bei Cookies (welche ja auch bei Sessions im einsatz sind) die Beschränkung auf Domains. Würde man von der fremden Seite zugreifen, würde das Cookie nicht von der Richtigen Seite gesetzt und somit vom Browser nicht mitgesendet. Zwar keine Volle sicherheit, dürfte aber schon einschränken.

Nein, der Cookie kommt ja gerade von der Seite, die die API zur Verfügung stellt und nicht von der anfragenden Seite.

Eben und das wäre die Hürde für die fremde Webseite!

Will man es übertreiben, könnte man noch die IP der Anfragenden beim ersten Aufruf der Seite speichern und bei den AJAX-Anfragen dagegen prüfen. Ich glaub aber, dass einige Maßnahmen mehr Last bringen, als Sie dann wirklich vermeiden.

Das wäre eine Möglichkeit, wenn man sich sicher sein kann, die die IP-Adressen der Server statisch sind oder zumindest nur selten ändern.

Es geht um die Clients und die haben bei AJAX normalerweise keine festen IPs (also ich glaub zumindest, dass keiner AJAX nutzt um Server zu Server Verbindungen zu machen ;) )

Gruß Niklas