У меня есть форма, которая отправляется на внешний API. Существует параметр customer_token, который передается как поле ввода. Он используется для аутентификации API, и каждому клиенту назначается один токен. Поле ввода отображается в Firebug Firefox (хотя это скрытое поле).Лучший способ скрыть поле ввода формы от доступа с помощью firebug?
Как скрыть?
Опции Использование JavaScript, как я первоначально думал
Я думаю, что с помощью JavaScript для создания этого поля ввода во время выполнения перед отправкой формы и сразу удаление поля будет работать, но по-прежнему будет отображаться поле на мгновение. Таким образом, даже если человек не может вручную получить его, я боюсь, что искатель или паук (я не знаю, какой именно термин, но какой-то автоматизированный сценарий) может получить токен клиента. Есть ли лучшее решение для этого? После отправки формы отображается одна и та же форма.
Используя одноразовый маркер концепции, как предложено IKKE
Я не уверен, как это будет работать? API требует правильного значения токена клиента для обработки любого запроса. Таким образом, даже для создания одноразового токена и возврата необходимо отправить запрос с токеном клиента. Таким образом, каждый может увидеть ценность токена клиента, и они также могут отправить запрос на получение одноразового токена и использовать его. Итак, как он решает проблему?
Устранены Проверить How to post form to my server and then to API, instead of posting directly(for security reasons)? Спасибо, Sandeepan
Пользователь все еще может контролировать все HTTP-запросы, например, проверить вкладку «net» Firebugs, чтобы значение было видимым. – chelmertz
Как сказано, нет «лучшего способа». На самом деле, вообще нет способа. Даже простая строка JavaScript в адресной строке может получить это значение. И у браузеров, таких как Chrome, есть инструменты, похожие на Firebug, встроенные, поэтому таргетинг только на эту проблему - плохая идея ... :-) – PhiLho