أفضل طريقة لإخفاء حقل إدخال النموذج من الوصول إلى Firebug؟

Question

لدي نموذج يتم نشره في واجهة برمجة التطبيقات الخارجية. هناك معلمة تسمى customer_token يتم تمريرها كحقل إدخال. يتم استخدامه للمصادقة من قبل API ويتم تعيين كل عميل رمز واحد. مجال الإدخال مرئي في Firefox Firebug (على الرغم من أنه مجال مخفي).

كيف أخفيها؟

خيارات باستخدام JavaScript كما فكرت في البداية

أعتقد أن استخدام JavaScript لإنشاء حقل الإدخال هذا في وقت التشغيل قبل إرسال النموذج وإزالة الحقل على الفور سيعمل ولكن لا يزال الحقل يظهر للحظات. لذا ، حتى لو لم يتمكن الشخص من الحصول عليه يدويًا ، أخشى أن يكون الزاحف أو العنكبوت (لا أعرف المصطلح الدقيق - لكن بعض النصوص الآلية) قد يحصل على رمز العميل. هل هناك حل أفضل لهذا؟ بعد تقديم النموذج ، يبقى نفس النموذج معروضًا.

باستخدام مفهوم الرمز المميز لمرة واحدة كما اقترح Ikke

لست متأكدًا من كيفية عمله؟ يحتاج API إلى قيمة رمز العميل الصحيحة لمعالجة أي طلب. لذلك ، حتى لإنشاء رمز ورمز لمرة واحدة ، يجب إرسال طلب مع رمز العميل. وبهذه الطريقة ، يمكن لأي شخص رؤية قيمة رمز العميل الخاص بي ويمكنهم أيضًا إرسال طلب للحصول على رمز لمرة واحدة واستخدامه. فكيف تحل المشكلة؟

تم الحليفحص كيفية نشر النموذج إلى الخادم الخاص بي ثم إلى API ، بدلاً من النشر مباشرة (لأسباب أمنية)؟شكرا ، سانديبان

Answer 1

هذا هو ليس المستطاع. يقرأ Firebug فقط DOM في حالته الفعلية ، لذلك حتى لو تمت إضافته في مرحلة لاحقة ، فلا يزال من الممكن استرداده.

تسمى طريقة الأمن هذه الأمن من خلال الغموض وهو نوع من عدم الأمن. سيكون عليك حلها بطريقة أخرى ، مثل السماح للخادم بتقديم الطلب في Stead.

تسمح للمستخدم بإرسال النموذج إلى الخادم. ثم مع لفة, ، يمكنك إجراء المكالمة إلى خدمة الويب باستخدام رمز المستخدم الصحيح.

Answer 2

لا أعتقد أن هذا ممكن أخشى.

ستظل Firebug رؤية العنصر إذا تم إدخاله عبر JavaScript ، حيث يشاهد شجرة Dom. إذا كشف هذا الإدخال عن قدرة أمنية على الأمن ، فهذا مهمة رمز من جانب الخادم الخاص بك للتحقق من صحة/إصلاحه.

قد تساعد مزيد من التفاصيل حول واجهة برمجة التطبيقات شخص ما على الإجابة على هذا السؤال بمزيد من التفصيل.

آمل أن يساعد هذا