好吧,这个话题的标题真的很愚蠢——但我无法用比这更好的方式来总结它。所以这是我的问题的更详细版本:
我正在创建一个小型 JavaScript 库,使开发人员能够将自定义事件的字符串发送到专用服务器(库中定义的 url)。假设该库称为“testLib”,使用该库的开发人员可以编写如下内容:
function success() {
testLib.send("Everything OK");
}
因此,每次调用此成功函数时,都会对库中定义的服务器进行 REST 调用(POST 请求)。到目前为止,这没有问题。
但丑陋的是,每个有 firebug 或类似的人也可以调用这些“testLib.send()”方法。这真的很难看,因为这个库背后的漏洞是只跟踪开发人员定义的事件。当然,服务器会负责基本的验证(来源检查、API 密钥等),但仍然:可以启动 firebug 并调用“testLib.send”方法。
有没有机会建立一个授权机制来防止“萤火虫用户”通过预定义的库方法发送休息调用?