Thực sự không có giải pháp hiệu quả. Nếu JSON của bạn có thể truy cập được thông qua trình duyệt thì có thể truy cập được vào các trang web khác. Đối với máy chủ web, yêu cầu bắt nguồn từ trình duyệt hoặc máy chủ khác hầu như không thể phân biệt được với các tiêu đề. Giống như ILMV đã nhận xét, các liên kết giới thiệu (và các tiêu đề khác) có thể bị giả mạo. Họ là sau khi tất cả, tự báo cáo.
Bảo mật không bao giờ là hoàn hảo. Một người được xác định đầy đủ có thể vượt qua bất kỳ biện pháp an ninh nào, nhưng mục tiêu an ninh là tạo ra một rào cản đủ cao mà người dân và hầu hết mọi người sẽ bị từ chối.
Với ý nghĩ đó trong đầu, bạn có thể tạo ra một hàng rào đủ cao để các trang web khác có thể không bận tâm đến việc đưa ra yêu cầu với hàng rào nhập cảnh được đưa vào. Bạn có thể tạo các mã thông báo sử dụng duy nhất được yêu cầu để lấy dữ liệu json. Khi mã thông báo được sử dụng để lấy dữ liệu json, mã thông báo sau đó sẽ bị vô hiệu hóa sau đó. Để lấy mã thông báo, trang web phải được yêu cầu với mã thông báo được nhúng trong trang trong javascript, sau đó được đưa vào cuộc gọi ajax cho dữ liệu json. Kết hợp điều này với các mã thông báo hết hạn thời gian, và đủ obfuscation trong javascript và bạn đã tạo ra một rào chắn đủ cao.
Chỉ cần nhớ, điều này không thể tránh được. Một trang web khác có thể trích xuất mã thông báo ra khỏi javascript và chặn cuộc gọi ajax và chiếm đoạt dữ liệu ở nhiều điểm.
Ngoài ra, 'REFERRER' có thể được giả mạo –