一位客户有一项服务,需要在客户的页面上添加一些 JavaScript。作为向潜在客户展示的营销工具,我创建了一个 Web 应用程序,演示了客户页面在使用客户的 JavaScript 时的外观。这很酷,销售团队很喜欢它!
该应用程序使用反向代理 (mod_proxy) 使客户的站点看起来像是在我们的域中,因此该应用程序可以添加 javascript,而不受跨站点脚本限制。现在仅限于授权用户。
这种设置效果很好——也许太好了!现在 CEO 想让任何人都可以从他们的主页上使用该工具。但众所周知...
开放的反向代理几乎普遍都是不好的。
有没有办法确保该演示应用程序的安全?即以某种方式削弱它,使其对垃圾邮件发送者和黑客毫无用处,但又足以向潜在客户展示一些演示页面?
我的一些想法
- 每个 IP 地址每小时仅允许代理 X 个文件。
- 限制仅处理 GET 请求
- 不设置 cookies
- 保留不代理的域名黑名单(按点击付费广告服务器)
- 在页面内容中注入警告(“这不是 XYZ 服务器”),然后由我的应用程序脚本将其删除。
还有其他想法吗,或者这是愚蠢的行为?
答案1
也许在您的主机上添加 http 身份验证就足够了。这样您的销售代表就可以轻松地向客户展示演示页面,但其他人则无法访问。
不要忘记使用 https 以避免耳塞。