1

我打算使用 TrackJS 来监视我的应用程序中的错误,但通过阅读文档,我的私人令牌似乎必须在浏览器上公开:

<script src="https://cdn.trackjs.com/agent/v3/latest/t.js"></script>
<script>
  window.TrackJS && TrackJS.install({
    token: "YOUR_TOKEN"
  });
</script>

API 有我可以做的请求限制。因此,攻击者可以通过阅读源代码窃取我的令牌,并使用它向 TrackJS API 发出许多请求。我怎样才能防止这种类型的攻击?

4

1 回答 1

1

令牌实际上不是“私有的”。别人看到就好了。它与 Google Analytics(分析)帐户/令牌或任何其他第三方服务标识符没有什么不同。这只是我们知道将错误放入哪个帐户的一种方式。

您的帐户确实有 API 密钥和其他不应共享的东西,但您的安装令牌不是其中之一。

于 2021-08-10T15:07:40.563 回答