%20%D0%B4%D0%BB%D1%8F%20%D0%B4%D0%B5%D0%BC%D0%BE%D0%BD%D1%81%D1%82%D1%80%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE%20%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D0%B0.png)
У клиента есть услуга, которая требует добавления небольшого количества javascript на страницу клиента. В качестве маркетингового инструмента для показа потенциальным клиентам я создал веб-приложение, которое демонстрирует, как будет выглядеть страница клиента с javascript моего клиента. Это довольно круто, и отдел продаж в восторге!
Приложение использует обратный прокси (mod_proxy), чтобы сайт клиента выглядел как находящийся на нашем домене, поэтому приложение может добавлять javascript без ограничений на межсайтовый скриптинг. Теперь он доступен только авторизованным пользователям.
Эта настройка сработала хорошо — возможно, даже слишком хорошо! Теперь генеральный директор хочет сделать этот инструмент доступным для всех с домашней страницы. Но, как мы все знаем...
Открытые обратные прокси-серверы почти всегда плохи.
Есть ли способ защитить его таким образом, чтобы сделать это демо-приложение возможным? То есть, повредить его таким образом, чтобы оно стало бесполезным для спамеров и хакеров, но достаточно хорошим, чтобы показать несколько демо-страниц потенциальным клиентам?
Некоторые идеи, которые у меня были
- Разрешить проксирование только X файлов в час на один IP-адрес.
- Ограничьтесь обработкой только GET-запросов
- Не устанавливать куки
- Ведите черный список доменов, которые не следует использовать через прокси (серверы рекламы с оплатой за клик)
- Вставлять предупреждения в содержимое страницы («Это не сервер XYZ»), которые затем удаляются моим скриптом приложения.
Есть еще идеи, или это бесполезная затея?
решение1
Может быть, достаточно добавить http-аутентификацию на ваш хост. Таким образом, ваш торговый представитель сможет легко показывать демо-страницу клиентам, но она должна быть недоступна для всех остальных.
Не забудьте использовать https, чтобы избежать прослушивания.