如何解决我在网站上托管的托管 3rd 方 JavaScript 小部件是否允许任何人访问我的 API?
为了使我网站上的访问者能够使用 3rd 方聊天小部件或被 Google Analytics 识别,他们必须有权访问从前端调用这些 3rd 方 API 所需的任何凭据。这是否意味着他们可以轻松获取这些服务并以编程方式代表我向这些服务发送任何请求?
这些服务是否可以使用发起 HTTP 请求的域作为安全措施?如果我指定将小部件托管在 mywebsite.com 上,是不是任何人都可以伪造看起来来自该来源的 HTTP 请求?
最后,对于这种情况,是否有任何可靠的安全措施,或者仅前端小部件是否天生允许任何人访问他们使用的资源?
解决方法
在前端指定的任何凭据都可供用户使用。他们可以以任何他们想要的方式使用它们(让他们知道如何使用),例如,任何用户都可以在他们的网站上安装 GA 或 GTM,并使用您的 ID 将事件从他们的网站推送到您的分析。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
