我正在使用javascript和Reactjs。我们有一个非常复杂的服务器设置,如果可以使用.env文件存储我们的API密钥并直接从客户端访问它们会更快。
答案 0 :(得分:2)
我确定你可以,但你应该不。特别是在涉及安全问题时。
如果可以使用.env文件存储我们的API密钥并直接从客户端访问它们会更快,[...]有一种方法可以在代码上加载.env变量,所以它隐藏,你只是引用env文件
这将有效地为用户提供这些API密钥,供他们按照自己的意愿使用。有 no 方法隐藏发送到浏览器的内容。没有什么能阻止用户自己修改(或完全重写)客户端应用程序并显示 - 或者更糟糕的是,修改 - 那里存在的任何数据。
这是您的服务器应将每个请求和响应视为潜在攻击的原因之一。牢记这一点,包括响应中的API密钥是所有但是安全,因为潜在的攻击将毫不费力地收获您的API密钥。