Можно ли установить или изменить заголовок «origin» в запросе https? ⇐ Html

[Anonymous]

Я создаю веб-страницу, которая будет встроена на сторонний веб-сайт с помощью iframe. Для инициирования связи не требуется служба входа в систему, поэтому я не могу управлять каким-либо токеном сеанса.

Поэтому я планирую проверить заголовок origin запроса https, чтобы проверить, поступает ли запрос из ожидаемого источника. Этот внешний веб-сайт не находится под моим контролем, но я могу попросить их внести некоторые изменения для обеспечения безопасного соединения.

У меня есть два вопроса:

• Можно ли злонамеренно установить или изменить заголовок «origin» в запросе https? Или он всегда устанавливается самим браузером?
• Поскольку я не совсем уверен в уровне безопасности, обеспечиваемом заголовком origin, я планирую также использовать HMAC-SHA256. Внешний сайт должен генерировать уникальный номер для каждого запроса и подписывать его секретным ключом.

Итак, если я реализую две вышеуказанные вещи, стоит ли мне беспокоиться о чем-то еще?

Подробнее здесь: https://stackoverflow.com/questions/259 ... ps-request