![](/img/trans.png)
[英]Best (and secure) way to call javascript function (with arguments) using a url from another page
[英]Secure way to call the API from Javascript?
我正在使用flask建立我的API。 我在烧瓶前面有一个龙卷风服务器,负责处理请求。 我在Flask中使用HTTP基本身份验证,如下所示:
auth = HTTPBasicAuth()
@auth.get_password
def get_password(username):
if username == 'uname':
return 'password'
return None
这就是我从Javascript调用API的方式:
$.ajax({
url: api_url + 'customer',
type: 'GET',
dataType: 'json',
async: false,
headers: {
"Authorization": "Basic " + btoa(uname + ":" + password)
},
data: {start: start_date, end: end_date},
success: function(result) {
data = result.results;
}
});
我意识到这不是完全安全的(因为前端JS文件中包含“用户名”和“密码”),所以我的问题是如何使它安全? 发出API请求的正确方法是什么?
您无法避免以这种方式发送密码,这很好。 您只需要采取合理的预防措施来处理这些凭据。 确保您未将密码保存在cookie / localStorage中。
确保uname
和password
变量未硬编码到源代码中。 这些应该由用户通过表单输入。
只要密码仅在内存中,就可以保护自己免受XSS攻击。
我也强烈建议您使用与服务器的HTTPS连接。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.