由于XHR的同源策略,在另一个站点上运行的Javascript将无法访问您的站点。但是,没有什么能阻止某人构建PHP
+ CURL脚本来“代理”您的ajax支持的数据,以使其看起来好像在服务器上运行。试图将客户列入黑名单很麻烦,IP地址便宜,免费的HTTP代理很多。
简而言之,您的javascript没有什么特别的。客户可以做任何他想做的事,而你不能强迫他做事,这是“客户站点信任”的基础。黑客可以使用tamperdata甚至是firebug之类的东西来识别HTTP请求,他将能够重播这些请求或使用CURL伪造它们。
您可以尝试混淆您的Javascript。但是最终,攻击者将只是重播http请求,因此您绝对可以做些事情。
