我使用相对路径获取JSON文件,以获取带有一些敏感身份验证数据的JSON配置文件,如下所示:
$http.get('app/config.json').then(function (data) {}
它工作正常,但我想知道这有多安全吗?这个电话会以任何方式被拦截并取代价值吗?
我的网站已部署到https。
谢谢, 艾伦。
编辑:为了添加更多细节,敏感数据我正在谈论认证流程的重定向URI和客户端ID;如果这些更改为试图模仿身份验证提供程序的网站,则有人可能会窃取用户的用户名和密码。
答案 0 :(得分:0)
配置文件包含一些敏感的身份验证数据
客户端如何获取凭据(通过ajax调用或已包含在页面源中或...)并不重要。当您的browser / js / whatever使用凭据发出请求时,这将显示在开发人员工具中。所以每个人都可以使用这些凭据如果您被第三方提供商收取使用这些凭证的费用,那就太糟糕了。
可以以任何方式拦截此调用并替换值吗?
与传出请求一样,它将显示在开发人员工具中。
只要您不必这样做,就不要向您的客户发送敏感信息。使用反向代理等。添加凭证服务器端。