Estoy seguro de que esta pregunta se ha formulado antes, pero no puedo encontrar un hilo que lo explique de una manera que tenga sentido para mí.Cómo "proteger" las llamadas AJAX?
Estoy creando un complemento bookmarklet/browser escrito en Javascript. Este script hace llamadas a una API, enviando efectivamente la información de actividad de un usuario de un sitio a otro. (piense, haciendo un tweet cuando un usuario publica un estado de Facebook)
Este sitio carga javascript directamente en el sitio. La API que estoy usando requiere que se genere un hash MD5 usando un código secreto API. Esto no es problema, estoy haciendo una llamada ajax a un script PHP que estoy hospedando en otro lado, que devuelve la cadena correcta.
Problema es que no quiero que el usuario pueda realizar una llamada a este mismo script para generar sus propias cadenas, con el secreto incrustado para abusar de la API. ¿Es su manera de que solo pueda permitir llamadas a esta API cuando quiero hacerlas?
O tal vez me estoy acercando a esto desde la dirección equivocada.
Los ataques de repetición pueden protegerse contra ... pero eso es asumiendo que es una repetición y no una operación permitida [inicialmente]. –
@pst Si puede hacerlo en JavaScript, un atacante también puede hacerlo en JavaScript. – rook