客戶有一項服務,需要將一些 JavaScript 加入客戶的頁面。作為向潛在客戶展示的行銷工具,我創建了一個 Web 應用程序,用於演示使用客戶的 javascript 時客戶頁面的外觀。它非常酷,銷售團隊很喜歡!
該應用程式使用反向代理 (mod_proxy) 使客戶的網站看起來位於我們的網域中,因此該應用程式可以添加 JavaScript,而無需跨站點腳本限制。現在僅限於授權使用者。
這個設定效果很好——也許太好了!現在,執行長希望任何人都可以從他們的主頁上使用這個工具。但眾所周知...
開放式反向代理幾乎普遍都是不好的。
有沒有什麼方法可以確保安全,使這個演示應用程式成為可能?即以使其對垃圾郵件發送者和駭客毫無用處的方式削弱它,但足以向潛在客戶展示一些演示頁面?
我曾經有過的一些想法
- 每個 IP 位址每小時僅允許代理 X 個檔案。
- 限制僅處理 GET 請求
- 不設定cookies
- 保留不代理的網域黑名單(按點擊付費廣告伺服器)
- 將警告注入頁面內容(「這不是 XYZ 伺服器」),然後我的應用程式腳本將其刪除。
還有其他想法,還是這是一個愚蠢的差事?
答案1
也許向您的主機添加 http 身份驗證就足夠了。透過這種方式,您的銷售代表可以輕鬆地向客戶展示演示頁面,但其他人應該無法訪問該頁面。
不要忘記使用 https 以避免監聽。