我使用的API在其文档中包括以下内容:
我们支持跨域资源共享,使您可以从客户端Web应用程序安全地与我们的API进行交互(尽管您绝不应在任何公共网站的客户端代码中公开API的秘密密钥)。
是否可以在不公开API密钥的情况下从 public 客户端代码发出请求?我该怎么办?
供参考,请求是这样的:
curl -H "Content Type: application/json" -H "Authorization: Token XXXX" https://api.example.com/endpoint
我不知道如何在不暴露api键XXXX的情况下从客户端发出CORS请求?
他们的文档是否意味着他们支持跨域资源共享,但仅适用于非公开网站?