0

我正在使用 API 从带有一些安全标头的主干中获取数据。

index: function() {  
  this.collection.fetch({ beforeSend: setHeader });
}

var setHeader = function (xhr) {
  xhr.setRequestHeader('Authorization', 'XXXX');
  xhr.setRequestHeader('AppKey', 'YYYYY');
}

当我做一个页面源时,我能够看到“授权”和“AppKey”。有什么办法可以隐藏它,因为它是一个安全的数据。

4

1 回答 1

1

访问您网站的人无法将其隐藏在页面源中。这是因为互联网的运作方式,所有网站内容都下载到访问者的浏览器中,如果开发人员可以对访问者隐藏东西,那将是非常令人讨厌的。

因此,如果它们在源代码中以纯文本形式出现,那么您真的没有任何方法可以向了解其内容的页面访问者隐藏这些内容。即使它们以某种方式被隐藏,当启动该请求时,用户也可以检查其开发人员工具的网络选项卡并从那里获取信息。

如果您想防止某种中间人攻击(例如,一些第三人捕获这些标头),请使用 SSL(因此您的网站通过 https)并且可能进行一些客户端加密,这样它们就不会移动通过未加密的电线。

从客户端加密开始的地方:

是否值得在客户端散列密码

于 2013-03-11T09:49:07.543 回答