【发布时间】:2018-01-24 18:28:41
【问题描述】:
var settings = {
"async": true,
"crossDomain": true,
"url": "https://urlexampleapi.com",
"method": "GET",
"headers": {
"Content-Type": "application/json; charset=utf-8",
"Accept": "application/json",
"appKey": "mykeyhere",
"appToken": "mytokenhere"
}
}
$.ajax(settings).done(function (response) {
console.log(response);
});
大家好,我想向某个 api 发出这个请求,但我知道在标头上传递我的凭据是不安全的。 在这种情况下应用的最佳做法是什么? 任何建议将不胜感激
谢谢!
【问题讨论】:
-
使用
http:是不安全的,句号。除此之外,这取决于您的威胁模型。例如,您介意向全世界公开您的 API 密钥吗? -
我的猜测是 api 可能甚至没有启用 CORS,因此您不会在浏览器中公开您的凭据 在您控制的服务器上使用代理来发出请求并保留您的凭据公众视野
-
对不起,我忘了把 s 放在 url 上。
标签: javascript jquery ajax api