以下腳本使用簡單的AJAX和Javascript將信息從API中查詢並輸出到HTML中。在JavaScript中傳遞API令牌:如何保持安全
API的TOKEN在Javascript中公開。在我看來,這是不安全的,因爲任何可以訪問該頁面的人都可以看到令牌。如果這個方法不安全,是否有一些額外的方法來隱藏令牌?理想情況下,如果需要,我想使用Javascript,HTML和PHP。現有的腳本非常簡單,所以我想知道是否有一種相對簡單的方法來保護令牌..而不是增加許多額外的新代碼或方法。
<html>
<body>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>
<script>
var settings = {
"async": true,
"crossDomain": true,
"url": "https://www.eventbriteapi.com/v3/events/eventid/?
token=TOKEN",
"method": "GET",
"headers": {}
}
$.ajax(settings).done(function (data) {
console.log(data);
var content = "<h2>" + data.name.text + "</h2>" + data.description.html +
data.start.utc;
$("#eventbrite").append(content);
});
</script>
<div id="eventbrite"></div>
</body>
</html>
肯定它不是固定到從客戶端調用私有API,而應該叫'你server',然後您的服務器可以調用'eventbrite' api .. – webdeb
在您的站點上創建一個php腳本,用於處理實際的遠程站點調用並使用ajax發送e請求到您的本地php腳本(所以它的行爲或多或少像一個代理) – RamRaider
不僅您的「祕密」密鑰在瀏覽器中不能保密,而且最重要的是,域請求。解決您的問題的唯一方法是使用服務器,而不是瀏覽器。 –