我遇到的问题是关于尝试安全地发送HTTP POST数据(没有人使用HTTP标头查看器来查看正在传递哪些数据变量?)
这可能吗?
这是情景:
网站A为所有不了解或不想在其网站上设置数据库的网站用户提供“免费在线数据库”。
网站B使用网站A的服务通过客户的电子邮件地址发送。
网站B需要使用特殊的“API密钥”向网站A发送POST数据 - 这不能向公众显示,否则公众可以使用网站B未授权的API密钥和垃圾邮件请求。
如果不在网站B上使用PHP,如何实现这一目标?我希望它尽可能简单(例如javascript插件) - 但我能否保护它,以便网站B的访问者无法看到正在发送的POST数据?
希望您提前理解并感谢您!
答案 0 :(得分:0)
你所要求的就是尝试拿香蕉和制作苹果。
这只是一个很大的安全漏洞。并且是一个很大的NO NO。只有Sever方面。永远不要相信客户(web broswer)
答案 1 :(得分:0)
不,这是不可能的。
您描述的JavaScript将在浏览器中执行。 浏览器由用户控制,因此您无法隐藏用于签署技术熟练的攻击者请求的密钥。
作为旁注,使用HTTPS也无济于事。 HTTPS只会帮助隐藏第三方观看通信的密钥。它不会阻止站点用户从JS中提取密钥。