HTTP Origin

HTTP Origin

为了防止第三方在其网站上使用您的API Key,您可以列出允许使用HTTP的HTTP来源。
如果要将应用程序部署到mydapp.example.com,则将mydapp.example.com添加到HTTP Origin允许列表将确保HTTP请求中不包含Origin:mydapp.example.com的所有流量都将被拒绝。

HTTP原点匹配与TLS证书类似,支持通配符子域模式,其中最左边的子域可以用特殊的 通配符替换以匹配任何此类子域。 匹配单个子域,并且只能显示为条目的最左侧部分。URL架构是可选的,可以是http:// | https:// 或您要限制的任何其他架构。 如果该架构包含在允许列表条目中,则源必须具有相同的架构。 此外,只有模式的条目将请求限制为该模式的origin。

Allowlist entry:https://*.example.com

Request's Origin Header:
curl -X POST \
  https://api.trongrid.io/wallet/createtransaction \
  -H 'TRON-PRO-API-KEY: 25f66928-0b70-48cd-9ac6-da6f8247c663' \
  -H 'Origin: https://myapp.example.com' \
  -H 'Content-Type: application/json' \
  -d '{
    "to_address": "41e9d79cc47518930bc322d9bf7cddd260a0260a8d",
    "owner_address": "41D1E7A6BC354106CB410E65FF8B181C600FF14292",
    "amount": 1000
}'

Result:由于架构和域名都匹配,因此允许上述请求。 来自与https://*.example.com不匹配的来源的任何请求都将被拒绝。 这可能包括http://myapp.example.com(不匹配的架构),https://myapp.somewhereelse.net(基础域不匹配)或https://subdomain.myapp.example.com(通配符可以仅匹配一级子域)。