[英]Client side API security
我正在網站上實現Olark在線聊天,而我要做的就是實現以下js代碼。
<script type="text/javascript" async>
;(function(o,l,a,r,k,y){if(o.olark)return;
r="script";y=l.createElement(r);r=l.getElementsByTagName(r)[0];
y.async=1;y.src="//"+a;r.parentNode.insertBefore(y,r);
y=o.olark=function(){k.s.push(arguments);k.t.push(+new Date)};
y.extend=function(i,j){y("extend",i,j)};
y.identify=function(i){y("identify",k.i=i)};
y.configure=function(i,j){y("configure",i,j);k.c[i]=j};
k=y._={s:[],t:[+new Date],c:{},l:a};
})(window,document,"static.olark.com/jsclient/loader.js");
/* Add configuration calls below this comment */
olark.identify('XXXX-XXX-XX-XXXX');
</script>
我想知道哪種技術使用第三方JavaScript插件,例如Olark , Disqus和類似公司?
如您所見, olark.identify()在我的網頁上是公開可用的,您可以使用“檢查元素”找到它。 那么他們如何處理安全性並反彈不必要的請求呢?
olark.identify('XXXX-XXX-XX-XXXX');
這是一個相當廣泛的問題,但我將嘗試回答:
這些工具中的許多工具並沒有真正阻止不需要的請求。 例如,可以在完全不相關的網站上嵌入Disqus評論塊。
我不認為這是最糟糕的事情,因為:評論出現在其他地方是什么問題? 首先已經是公共信息。
需要准確防止嵌入它們的域的腳本傾向於使用CORS和Origin
頭來確保這一點。 或者,他們可以使用document.location
的信息。
從某種意義上說,這不是“硬性”安全性,它可以完全禁止濫用,但是它使用瀏覽器沙箱使其變得更難濫用。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.