1
我正在爲一個網站構建一個支付插件,用戶可以用真錢購買一些網站實習生貨幣。我使用的後端處理付款流程是this。 它提供了(別人旁)JavaScript庫與他們的API溝通,所以你不必讓您的系統的觸摸如信用卡號碼等使用Javascript保護API密鑰
的問題是敏感的支付數據: 對於現在的API - 密鑰,祕密散列和其他易受攻擊的數據都被硬編碼到啓動與服務器通信的腳本中。所以理論上每個下降的用戶都可以將它們從瀏覽器中複製出來,並且可以用它做很討厭的sh * t,特別是如果他們可以訪問api文檔的話。
因此,這是不安全的,它絕對不能以這種方式上線。
即時工作與cakephp和我想收集這些敏感的鍵與一些AJAX調用我的控制器/模型,按下後提交按鈕。 存在這樣的問題,即這種連接並不安全,並且很容易被「中間人」控制。
是否有其他更好的方法來保護我的API密鑰在JavaScript?
沒有。任何敏感信息都需要通過* your *服務器。但是,如果他們有一個JS界面,他們肯定會考慮安全問題。 – sandradev
此外,不以任何方式與蛋糕..? –