Rails + Backbone.js - 隱藏頁面源中的安全數據

Question

我正在使用API​​從骨幹獲取數據，並使用一些安全標題。

index: function() { 
    this.collection.fetch({ beforeSend: setHeader }); 
} 

var setHeader = function (xhr) { 
    xhr.setRequestHeader('Authorization', 'XXXX'); 
    xhr.setRequestHeader('AppKey', 'YYYYY'); 
} 

當我做頁面源時，我能夠看到'授權'和'AppKey'。有沒有什麼辦法隱藏它，因爲它是一個安全的數據。

Answer 1

無法從訪問您的網站的人員的頁面源中隱藏它。這是因爲互聯網的工作方式，所有的網站內容都下載到訪問者瀏覽器，如果開發者可以隱藏訪問者的東西，這將是非常討厭的。

所以，你真的沒有辦法隱藏那些知道他的東西的頁面訪問者，如果他們在源文件中是純文本的。即使它們被隱藏起來，當請求啓動時，用戶也可以檢查他的開發人員工具的網絡標籤，並從那裏獲取信息。

如果您想防止某種中間人攻擊（例如，某些第三方人員捕獲這些標頭），請使用SSL（以便您的站點通過https），並且可能會執行一些客戶端加密，以便他們不要通過未加密的線路移動。

一個地方，與客戶端加密開始：

Is it worth hashing passwords on the client side