защита yml-файла

Пост в архиве.

CTRT

29 января 2010, 02:02

Заметил недочет в API. У меня есть сайт по аренде недвижимости, где данные хранятся в yml, и получается, что любой желающий может взять мой файлик и утащить мою ценную информацию себе. Давайте-ка научим сервер карт забирать yml, используя какой-нибудь ключ, или авторизовываться хотя-бы http-заголовками.

6 комментариев

Авторизуйтесь, чтобы оставить комментарий

Азат

28 января 2016, 07:58

Кто помешает злоумышленнику забрать ответ сервера API после того, как он сходит на ваш?

CTRT

28 января 2016, 07:58

это как?

Азат

28 января 2016, 07:58

Сервер API забирает xml-файл с вашего сервера, переводит xml в js и отдаёт браузеру. Злоумышленник может открыть сайт с картой, посмотреть запросы к серверу API и получить доступ к этому js-ответу.

Мартин

28 января 2016, 07:58

XMLHttpRequest вам в помощь)

Мартин

28 января 2016, 07:58

+ можно код сделать нечитабельным. Много способов в голове сидит... иу10 глупостям не учит)

Михаил Королев

28 января 2016, 07:58

отдавайте yml только серверам яндекса, ну и пишите лог обращений - чтобы знать какие ip у яндекс серверов и оперативно реагировать на появление новых.

+ к этому можно попробовать отдавать yml по https, но не факт что api съест такое.

ну и помните что то что вы показываете - в любом случае можно утянуть, как вам выше и написали - хоть из JS возвращаемого браузеру хоть скриншотов наделать..