San*_*ath 2 html forms information-hiding external-application
我有一个发布到外部API的表单.有一个名为customer_token的参数,它作为输入字段传递.它用于API的身份验证,并为每个客户分配一个令牌.输入字段在Firefox的Firebug中可见(即使它是隐藏字段).
我怎么隐藏它?
选项 使用我最初想到的javascript
我认为在提交表单之前使用javascript在运行时创建输入字段并立即删除该字段将起作用,但该字段将暂时出现.因此,即使一个人无法手动获取它,我担心爬虫或蜘蛛(我不知道确切的术语 - 但是一些自动化脚本)可能会获得客户令牌.有更好的解决方案吗?表单提交后,仍会显示相同的表单.
使用Ikke建议的一次性令牌概念
我不确定它会如何起作用?API需要正确的客户令牌值来处理任何请求.因此,即使生成一次性令牌并返回,也必须发送带有客户令牌的请求.这样,任何人都可以看到我的客户令牌值,他们也可以发送请求获取一次性令牌并使用它.那怎么解决这个问题呢?
已解决 检查如何将表单发布到我的服务器然后发布到API,而不是直接发布(出于安全原因)? 谢谢,Sandeepan
| 归档时间: |
|
| 查看次数: |
2130 次 |
| 最近记录: |