如何在浏览器响应头中隐藏基本授权凭证?
问题描述 投票:0回答:1
我已经实现了用于 API 身份验证目的的基本授权。但是,当我在 API 访问中发送凭据时,这些凭据在授权标头中显示如下图所示。
那么,如何在此标头中隐藏我的凭据?
提前谢谢您。
1个回答
0
投票
投票
使用 CORS 和 HTTPS:
您无法从控制台(开发人员工具)隐藏授权标头,但您可以通过应用 CORS 对您的网站应用严格的限制。
CORS 设置
allow_methods=[POST, GET], allow_origin="http://example.com", allow_headers=[AUTHORIZATION, Content/type, etc.]HttpOnlySameSite=StrictSetSecure=true如果您继续使用 AUTHORIZATION 标头,请确保您使用的是 HTTPS(为了数据安全)。
看起来很有趣:
因此,为了防止 XSS(跨站点脚本)攻击,您不应将 JWT 存储在会话存储或 cookie 存储中。最好使用 Uuid 生成,使它们作为 Id,作为指向可以存储在缓存中的用户 id 的指针,而该用户的 id 是指向存储在 db 中的用户个人数据的指针。
最新问题
- 如何查看mysql更新查询是否成功?
- JavaScript 错误:指定的参数超出了有效值的范围
- 提取具有特定输入条件的 data.table 子集
- Php 没有返回值,有人可以告诉我为什么吗
- 通过共享列获取两个二维数组之间的差异
- string.AsSpan() 与 .NET 中 ReadOnlySpan 的隐式转换运算符性能对比<char>
- 如何输出不带冒号的日期
- 重复的稳定 ID - 无法发布?
- 如何让 Qemu USB Passthrough 适用于 iPad / iPhone?
- 为什么维基百科中的Reservoir Sampling页面说列表的大小未知,但源代码函数知道大小?
- 有新提交时如何更新我的 helm 图表?
- 如何访问类对象属性? $this->$property1 给出“无法访问空属性”错误[已关闭]
- 使用命名空间函数调用 google.script.run
- 即使 BE 和 Postman 正在工作,我在尝试上传图像时也收到错误 503
- 在 Spark 上的 CreateDataframe 期间提供架构时设置缺失列的默认值
- 如何使用bash命令输出不带冒号的日期
- 多个类实现SmartInitializingSingleton时Spring Boot加载顺序
- 在 RStudio 中找不到“统计”包
- 如何使 NextAuth.js 在 Next.js 网站中与 SSG(生成的静态站点)配合使用
- 根据 R 中箱线图中未包含的变量为箱线图中的点着色
© www.soinside.com 2019 - 2024. All rights reserved.