簡體 English 中英

來自客戶端訪問API的AJAX請求的安全性

[英]Security for AJAX requests from the client side accessing an API

原文 2011-10-02 01:42:41 4 3 javascript/ ajax/ json/ security/ api

假設您要第三方網站復制並粘貼您提供的javascript代碼段。 此代碼使用AJAX請求來訪問服務器上的JSON API。 您將如何實現安全性，以便在將API使用情況與已注冊並收到API密鑰的網站相關聯的同時，有效地禁止站點濫用另一個站點的API密鑰/使用情況？ 從客戶端不可能實現這種安全性嗎？ 網站是否必須從服務器訪問API？

3 個解決方案

您還可以在服務器站點上檢查請求的HTTP引薦來源網址。
我認為更改javascript代碼不會偽造它。
但是它不能阻止某人從自定義瀏覽器或某些http客戶端發送自定義程序包。

實施服務器端解決方案是可能的，而且不太困難，但是它將阻止許多站點使用您的腳本。
您可以讓他們從他們的服務器發送請求
或讓他們將密鑰保留在服務器上，在將密鑰發送給客戶端之前先對其進行哈希處理（哈希密鑰會在一段時間后發生變化）...

您可以只檢查window.location或其某些組件。

我能想到的加強安全性的唯一方法就是通過IP地址，但這充其量是有風險的，因為有很多原因會導致設計不佳。

這將是服務器端保護javascript文件的安全性。 您可能只是讓Web服務提供了javascript，因此它可以在將文件發送到客戶端之前進行檢查。

客戶端API安全

[英]Client side API security

ajax REST API安全性可防止客戶端劫持

[英]ajax REST API security prevent client side hijacking

客戶端驗證和Ajax請求

[英]client side validations and ajax requests

SEO：如何從客戶端api請求索引數據

[英]SEO: how to index data from a client-side api requests

服務器端請求和XmlHTTPRequest（客戶端）和安全性

[英]Server-side requests and XmlHTTPRequest (client-side) and security

Ajax請求和競爭條件（客戶端和服務器端）

[英]Ajax requests and racing conditions (client and server side)

在瀏覽器中檢測AJAX請求（客戶端）

[英]Detect AJAX requests in the browser (client side)

如何從 SvelteKit 應用程序發送安全的 API 請求，而不在客戶端顯示 API 密鑰？

[英]How can I send secure API requests from SvelteKit app, without showing API keys on the client side?

從客戶端應用程序訪問環境變量

[英]Accessing environment variables from client side app

使用JavaScript從客戶端訪問DynamoDB？

[英]Accessing DynamoDB from client side using javascript?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 客戶端API安全 ajax REST API安全性可防止客戶端劫持客戶端驗證和Ajax請求 SEO：如何從客戶端api請求索引數據服務器端請求和XmlHTTPRequest（客戶端）和安全性 Ajax請求和競爭條件（客戶端和服務器端）在瀏覽器中檢測AJAX請求（客戶端）如何從 SvelteKit 應用程序發送安全的 API 請求，而不在客戶端顯示 API 密鑰？從客戶端應用程序訪問環境變量使用JavaScript從客戶端訪問DynamoDB？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM