为网络应用创建Google API凭据时,您可以指明允许的Javascript Origins,它只是一个URI列表。我试图了解这些目的是什么。
这意味着任何提供客户ID的JS代码都必须来自允许的来源以访问Google的API(例如Calendar API或Google+ API)。但这有什么帮助?
客户端ID是公共知识,欺骗原因对于恶意代码来说是微不足道的。
我要做的第一件事是添加" http://localhost:8080"所以我可以从我的开发环境运行代码,但当然每台计算机都可以识别为" localhost"所以我有效地否定了它的任何安全性。
有什么意义?
提前致谢!
答案 0 :(得分:3)
起源点是开发人员可以指定客户端可以从哪些域运行。因此,删除了欺骗因素。例如,在使用Google云端硬盘集成时,谷歌iframe会加载和HTTP标头:
x-frame-options:ALLOW-FROM https://www.yourorigin.com
该标题指示浏览器仅在来自yourorigin.com时加载。这是在Google Developer Console上创建客户端时指定的URL。