Zugriff auf HTTP Anfragen steuern

Question

Ich möchte eine kleine API erstellen mit dem benutzer Videos in ihrer Webseite einbetten können. Die Videos sollen aber nur auf ihrer Webseite angezeigt werden. Wie kann ich verhindern das fremde die Videos einbinden können?

Answer 1

State of the art wäre ein API Token. Jeder autorisierte Benutzer erhält einen eindeutigen API-Token oder Schlüssel, den sie verwenden müssen. Ohne den korrekten Token oder Schlüssel kann die API die Anfrage ablehnen.

Answer 2

Überprüfe den HTTP-Referer Header in den Anfragen, die von den Benutzern gesendet werden. Stelle sicher, dass der Referer zu der Domain gehört, die für die Einbettung autorisiert ist.

$allowedReferer = 'https://www.deine-website.de'; // Die erlaubte Referer-Domain

if (isset($_SERVER['HTTP_REFERER'])) {
    $referer = $_SERVER['HTTP_REFERER'];

    // Überprüfe, ob der Referer zur erlaubten Domain gehört
    if (strpos($referer, $allowedReferer) !== 0) {
        // Ungültiger Referer, hier kannst du entsprechende Aktionen ergreifen
        echo "Ungültiger Referer";
        exit;
    }
} else {
    // Referer fehlt oder wurde nicht gesendet
    echo "Referer fehlt";
    exit;
}

// Hier kannst du den Rest deiner Logik für die Videoeinbettung fortsetzen

Comments

Den Referrer Header kann man genauso manipulieren wie Cookies. Die Authorisierung sollte in jedem Fall serverseitig sein.