gpt4 book ai didi

html - 使用 Firebug 隐藏表单输入字段不被访问的最佳方法?

转载 作者:太空宇宙 更新时间:2023-11-04 15:25:06 26 4
gpt4 key购买 nike

我有一个发布到外部 API 的表单。有一个名为 customer_token 的参数作为输入字段传递。它用于 API 的身份验证,每个客户都分配有一个 token 。输入字段在 Firefox 的 Firebug 中是可见的(即使它是一个隐藏字段)。

如何隐藏它?

选项如我最初所想的那样使用 javascript

我认为在提交表单之前使用 javascript 在运行时创建该输入字段并立即删除该字段是可行的,但该字段仍然会暂时出现。所以,即使一个人无法手动获取它,恐怕爬虫或蜘蛛(我不知道确切的术语 - 但一些自动化脚本)可能会获取客户 token 。有更好的解决方案吗?表单提交后,仍然显示相同的表单。

使用 Ikke 建议的一次性 token 概念

我不确定它会如何运作? API 需要正确的客户 token 值来处理任何请求。因此,即使要生成一次性 token 并返回,也必须发送带有客户 token 的请求。这样任何人都可以看到我的客户代币值(value),他们还可以发送请求以获取一次性代币并使用它。那么它是如何解决问题的呢?

已解决检查How to post form to my server and then to API, instead of posting directly(for security reasons)?谢谢,桑迪潘

最佳答案

这是不可能的。 Firebug 只是读取 DOM 的实际状态,所以即使它是在后期添加的,它仍然可以被检索到。

这种安全方式称为Security through obscurity,是一种非安全方式。您将不得不以另一种方式解决它,例如让服务器代替执行请求。

您让用户将表单提交给服务器。然后用 curl ,您使用正确的用户代码调用网络服务。

关于html - 使用 Firebug 隐藏表单输入字段不被访问的最佳方法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3510011/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com