客户端API安全

时间:2018-12-04 12:55:28

标签: javascript rest api security rest-security

我正在网站上实现Olark在线聊天,而我要做的就是实现以下js代码。

  <script type="text/javascript" async>
      ;(function(o,l,a,r,k,y){if(o.olark)return;
      r="script";y=l.createElement(r);r=l.getElementsByTagName(r)[0];
      y.async=1;y.src="//"+a;r.parentNode.insertBefore(y,r);
      y=o.olark=function(){k.s.push(arguments);k.t.push(+new Date)};
      y.extend=function(i,j){y("extend",i,j)};
      y.identify=function(i){y("identify",k.i=i)};
      y.configure=function(i,j){y("configure",i,j);k.c[i]=j};
      k=y._={s:[],t:[+new Date],c:{},l:a};
      })(window,document,"static.olark.com/jsclient/loader.js");

      /* Add configuration calls below this comment */
      olark.identify('XXXX-XXX-XX-XXXX');
  </script>

我想知道什么技术会使用OlarkDisqus第三方JavaScript插件

您可以看到 olark.identify()在我的网页上是公开可用的,您可以通过“检查元素”找到它。那么他们如何处理安全性并退回不需要的请求?

  olark.identify('XXXX-XXX-XX-XXXX');

1 个答案:

答案 0 :(得分:0)

这是一个相当广泛的问题,但我将尝试回答:

很多这些工具并没有真正阻止不需要的请求。例如,可以在完全不相关的网站上嵌入Disqus评论块。

我不认为这是最糟糕的事情,因为:评论出现在其他地方是什么问题?开始时已经是公共信息。

需要精确防止嵌入它们的域的脚本倾向于使用CORS和Origin标头来确保这一点。或者,他们可以使用document.location中的信息。

从某种意义上说,这不是“硬性”安全性,它可以完全禁止滥用,但它使用浏览器沙箱使其变得更难滥用。

相关问题
最新问题