あるクライアントのサービスでは、顧客のページに JavaScript を少し追加する必要があります。見込み顧客に見せるためのマーケティング ツールとして、クライアントの JavaScript で顧客のページがどのように表示されるかを示す Web アプリを作成しました。とてもクールで、営業チームも気に入っています。
アプリはリバース プロキシ (mod_proxy) を使用して、顧客のサイトが当社のドメイン上にあるように見せかけ、クロスサイト スクリプティングの制限なしに JavaScript を追加できるようにします。現在は、承認されたユーザーのみに制限されています。
この設定はうまくいきました -- うまくいきすぎたかもしれません! 現在、CEO はこのツールをホームページから誰でも利用できるようにしたいと考えています。しかし、私たち全員が知っているように...
オープンリバースプロキシは、ほぼ例外なく悪影響を及ぼします。
このデモ アプリを可能にするような方法でアプリを保護する方法はありますか? つまり、スパマーやハッカーには役に立たないが、見込み客にいくつかのデモ ページを表示するのに十分な方法でアプリを無効にする方法はありますか?
私が考えたいくつかのアイデア
- IP アドレスごとに 1 時間あたり X 個のファイルのみプロキシすることを許可します。
- GETリクエストのみの処理に制限
- クッキーを設定しない
- プロキシしないドメインのブラックリストを保持する(クリック課金型広告サーバー)
- ページ コンテンツに警告 (「これは XYZ サーバーではありません」) を挿入し、アプリケーション スクリプトによって削除します。
他に何かアイデアはありますか、それともこれは無駄な努力でしょうか?
答え1
おそらく、ホストに http 認証を追加するだけで十分でしょう。この方法では、営業担当者は顧客にデモ ページを簡単に表示できますが、他のすべてのユーザーはアクセスできないようにする必要があります。
盗聴を防ぐために、https を使用することを忘れないでください。