[英]Secure way to call the API from Javascript?
我正在使用flask建立我的API。 我在烧瓶前面有一个龙卷风服务器,负责处理请求。 我在Flask中使用HTTP基本身份验证,如下所示:
auth = HTTPBasicAuth()
@auth.get_password
def get_password(username):
if username == 'uname':
return 'password'
return None
这就是我从Javascript调用API的方式:
$.ajax({
url: api_url + 'customer',
type: 'GET',
dataType: 'json',
async: false,
headers: {
"Authorization": "Basic " + btoa(uname + ":" + password)
},
data: {start: start_date, end: end_date},
success: function(result) {
data = result.results;
}
});
我意识到这不是完全安全的(因为前端JS文件中包含“用户名”和“密码”),所以我的问题是如何使它安全? 发出API请求的正确方法是什么?
您无法避免以这种方式发送密码,这很好。 您只需要采取合理的预防措施来处理这些凭据。 确保您未将密码保存在cookie / localStorage中。
确保uname和password变量未硬编码到源代码中。 这些应该由用户通过表单输入。
只要密码仅在内存中,就可以保护自己免受XSS攻击。
我也强烈建议您使用与服务器的HTTPS连接。
从另一个页面使用 url 调用 javascript function(带参数)的最佳(和安全)方式
[英]Best (and secure) way to call javascript function (with arguments) using a url from another page
来自客户端(JavaScript)的代码隐藏(安全页面)中的调用方法
[英]Call method in code-behind (secure page) from client (JavaScript)
将信息从源站点传递到 JavaScript 应用程序链接的安全方法?
[英]Secure way to pass information from source site to a JavaScript application link?
通过客户端JavaScript安全地使用Amazon Kinesis
[英]Working with Amazon Kinesis from client JavaScript in a secure way
有没有办法用 javascript 调用 firebase API 中的函数?
[英]Is there a way to call functions inside firebase API with javascript?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.