以下脚本使用简单的AJAX和Javascript将信息从API中查询并输出到HTML中。在JavaScript中传递API令牌:如何保持安全
API的TOKEN在Javascript中公开。在我看来,这是不安全的,因为任何可以访问该页面的人都可以看到令牌。如果这个方法不安全,是否有一些额外的方法来隐藏令牌?理想情况下,如果需要,我想使用Javascript,HTML和PHP。现有的脚本非常简单,所以我想知道是否有一种相对简单的方法来保护令牌..而不是增加许多额外的新代码或方法。
<html>
<body>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>
<script>
var settings = {
"async": true,
"crossDomain": true,
"url": "https://www.eventbriteapi.com/v3/events/eventid/?
token=TOKEN",
"method": "GET",
"headers": {}
}
$.ajax(settings).done(function (data) {
console.log(data);
var content = "<h2>" + data.name.text + "</h2>" + data.description.html +
data.start.utc;
$("#eventbrite").append(content);
});
</script>
<div id="eventbrite"></div>
</body>
</html>
肯定它不是固定到从客户端调用私有API,而应该叫'你server',然后您的服务器可以调用'eventbrite' api .. – webdeb
在您的站点上创建一个php脚本,用于处理实际的远程站点调用并使用ajax发送e请求到您的本地php脚本(所以它的行为或多或少像一个代理) – RamRaider
不仅您的“秘密”密钥在浏览器中不能保密,而且最重要的是,域请求。解决您的问题的唯一方法是使用服务器,而不是浏览器。 –