我们目前正在使用API和前端JS库实现Web应用程序。目前从安全角度出现的一个问题是:
在前端代码中暴露这些API调用是一个问题吗? 由于这将是一个公共网站,因此API调用的一个示例将是获取所有可用产品。网页是否可以通过API调用显示所有可用的产品(无需用户登录),但不允许其他人在网站外进行此调用(例如使用像fiddler这样的工具)?
我想我正在寻找在公共可访问网站的前端使用API的架构模式和/或最佳实践。
非常感谢任何指导/链接
答案 0 :(得分:0)
api本身可以限制使用各种方法进入http请求的位置。根据您使用的语言/平台,您可以完全控制对您的API实际执行http请求的人/事。
大多数人只会使用CORS作为极其基本的解决方案。如果API本身没有列出白名单,CORS将阻止未经授权的HTTP请求进入。