嵌入式屏幕安全
本文关键字:安全 屏幕 嵌入式 | 更新日期: 2023-09-27 18:17:26
我们有一个web应用程序:c# + SQL 2k5
不同的公司给我们发送信息,我们对它们进行分析,做不同的事情,然后为我们的每个客户提供一个简单的列表。列表看起来是一样的,但是根据客户的不同会有不同的信息。
他们不应该访问彼此的数据。
我们想创建一个页面,将嵌入自己的网站。我正在考虑使用类似iFrame的东西。
基本上客户ABC会在他自己的abc.com上嵌入一个带有URL的iframe(我们会给他们所需的参数),他的客户会在他的网站上看到我们的数据。
另一个客户,我们叫他xyz,他有另一个网站xyz.com,也会做同样的事情,但在url中我应该对它们进行区分。
我想知道最好、最安全的方法是什么。我该如何开始构建这个即将嵌入的页面呢?
我该如何区分这两个客户?从他们那里获得信息的唯一方法是他们发送给我的参数,最终,我可以得到我嵌入的iFrame的"父",这样可能有助于我限制xyz嵌入使用url参数信息从abc获取数据。看到我的困境了吗?可能每个客户都需要一个唯一的标识符(比如GUID?),而且他们不知道彼此的ID……还是有更安全的方法来做这件事?
如有任何帮助,不胜感激。
谢谢
在URL中嵌入一个公开可见的唯一id,并处理它以提取客户端id。例如
<IFRAME src="http://example.com/1122334455667788aabbcc">
您可以检查请求。UrlReferrer确保请求看到这个答案
然而,这样做的唯一安全的方法是提供一个经过认证的API,站点使用服务器端通过服务API(例如WCF)来处理,或者至少是一个经过认证的HttpWebRequest;任何其他方法都只能使您的数据与公开可见的唯一id一样安全。
看看其中一个信用卡处理门户是如何做到这一点的(例如WorldPay或Paypal)。有几种方法。
至少您需要为每个客户提供他们发送给您的唯一ID。