我正在开发一个网站,我想包括Google登录 . 所以我在 console.developers.google.com 创建了一个项目 . 我在那里看到了以下段落 .
授权的JavaScript源用于浏览器的请求 . 这是客户端应用程序的原始URI . 它不能包含通配符(https://*.example.com)或路径(https://example.com/subdir) . 如果您使用的是非标准端口,则必须将其包含在原始URI中 .
我想知道Google如何识别发起请求的域名?
如果可能,我想知道,是否可以检查是否从浏览器发出请求?
Google将如何确定我是否从浏览器/ NodeJs / rest api客户端(如Postman)发送了请求?我问这个是因为在创建客户端凭据之前我们必须选择请求来源,Google将如何识别来源?
2 回答
浏览器在使用JavaScript API发出跨源请求时发送an Origin header,这允许JavaScript读取响应 .
不可靠 . 任何自定义客户端都可以发送一组与浏览器相同的标头 .
它赢了't, but this shouldn' t . 目标是阻止恶意第三方 . 如果 you 从邮递员(或其他)发送请求,那么请求仍然是由您发送的,因此没有第三方,只有您和Google .
您询问的所有信息都将在请求 Headers 中找到 .
例如,要知道请求是否由浏览器发出,您可以查看
请求的来源可以在
origin
Headers 中找到 . 您可能会对请求的引荐来源也记录在 Headers 中感到惊讶 .