我有一个用 Express 编写的 API。我的 API 的其中一条路线可供所有未授权用户使用。我的目标是仅当未经授权的用户从托管在不同域上的我的站点向它发出请求时,才允许他们使用此路由。
目前,我已经使用 Origin 标头实现了保护。我知道它很容易被欺骗,所以我正在寻找其他保护层。
我正在考虑的一个可能的安全想法是使用我站点的 IP 地址检查请求客户端的 IP 地址。但我不确定这是否是可靠的保护。
有什么想法吗?