如何限制API仅在浏览器中运行? [英] How to restrict API's to run only in the browser?
本文介绍了如何限制API仅在浏览器中运行?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我使用的是节点js,并设置了策略来限制API的准确性,而不是在浏览器中。为此,我设置了以下条件
app.route('/students').all(policy.checkHeader).get(courses.list)
exports.checkHeader = function(req, res, next) {
var headers = req.headers;
if ( headers['upgrade-insecure-requests'] || headers['postman-token']) {
res.status(401).json('Page not found');
} else {
return next();
}
}
我不确定我的流程是否正确。我正在搜索仅对浏览器存在的公共参数(Header-PARAMETER)。有谁能帮助我吗?谢谢。
推荐答案
这是不可能的。
您无法控制哪些类型的客户端向您的HTTP服务器发出HTTP请求。
您不能可靠地确定您收到的是哪种类型的客户端请求。
任何自定义客户端都可以发送(或不发送)带有任何值的升级-不安全-请求标头。同上,邮递员-令牌。用户代理也是如此。其他一切也是如此。 限制它的唯一方法是在请求中要求某种类型的秘密。如果您希望常规Web浏览器访问该密码,则该密码将通过浏览器开发工具泄露。这篇关于如何限制API仅在浏览器中运行?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
