javascript - 如何在网页中从 mandrillapp 隐藏我的私钥

Question

我已经在 mandrill 中成功创建并添加了 key ，并且可以从我在这里托管的 javascript 页面发送电子邮件:

http://goo.gl/2YSwj7

但我遇到的问题是我的 mandrill key 是公开可见的(在 contact_me.js 文件中)

我曾尝试使用 mandrill key 选项仅从某些 IP 地址启用 key ，但这不起作用! (我在关键选项限制中输入了 github 的 ip，但实际上我们不是从那里发送它，而是从用户浏览器发送，对吧？)

如果有人知道如何解决这个问题，从浏览器发送电子邮件，并将其限制在该页面上，我会很高兴听到，

谢谢，oserk+

Answer 1

这是几家公司正在解决的永恒问题，无需 OAuth 即可通过 JavaScript 访问 API。 100% 易受攻击。

没有办法隐藏你的私钥，只要它在 JavaScript 内存中就很容易被捕获。每当一家公司向您展示带有私钥的 JavaScript 示例代码时，他们显然没有遵循网络安全的工作原理。只需打开网页即可轻松获得私钥。

您应该搜索支持 Oauth 的 JavaScript API。有什么不同？ Oauth 不是在前端使用私钥，而是在后端和前端使用私钥，只需存储一个带有 token 的 cookie，该 token 属于单个用户，在最坏的黑客攻击情况下，黑客只需破解一个用户，他需要破解用户的电脑，这比打开一个网页更难。

如果黑客拿走了私钥，他就是在入侵整个公司帐户。小心使用私钥。