我担心JavaScript中的安全性是向客户端公开代码,对我而言,这意味着公开您正在调用的所有URL。假设我在无服务器应用程序中有一个终结点URL,当需要在特定条件后向特定用户添加点时调用。现在,用户可以访问URL,因为向用户显示了代码。在这种情况下,用户能否仅看到URL,转到Postman或Insomnia之类的API客户端,然后仅对URL进行GET / POST请求而不满足条件?
也可以说有一个API密钥,它很敏感并且无法向客户端公开。在这种情况下,我会将其放在服务器端,然后从客户端向服务器发出请求,以使用敏感密钥执行调用,而不仅仅是将密钥公开给客户端。在这种情况下,有人可以不使用URL并向服务器发出GET / POST请求吗?
开发安全JS应用程序的任何常规链接/提示也将不胜感激。
您应始终注意后端(端点)的安全。无法隐藏前端将调用的URL。创建API时,您应该认为唯一的用户就是最好的黑客,而他的目标是破解您的后端。最小的漏洞造成最大的损害。