如何在网页中从 mandrillapp 隐藏我的私钥
How to hide my private key from mandrillapp in webpage
我已经在 mandrill 中成功创建并添加了密钥,并且可以从我在此处托管的 javascript 页面发送电子邮件:
但我遇到的问题是我的山魈钥匙公开可见(在 contact_me.js 文件中)
我曾尝试使用 mandrill 密钥选项仅从某些 IP 地址启用密钥,但这不起作用! (我在关键选项限制中输入了 github 的 ip,但实际上我们不是从那里发送它,而是从用户浏览器发送,对吧?)
如果有人知道如何解决这个问题,从浏览器发送电子邮件,并将其限制在该页面上,我会很高兴听到,
谢谢,oserk+
这是几家公司正在制造的一个永恒的问题,通过 JavaScript 访问 API 而没有 OAuth 是 100% 易受攻击的。
没有办法隐藏你的私钥,只要它在JavaScript内存中就很容易被困。每当一家公司向您展示 JavaScript 中带有私钥的示例代码时,他们显然没有遵循网络安全的工作原理。只需打开网页即可轻松获取私钥
您应该搜索 JavaScript 支持 Oauth 的 API。有什么不同? Oauth 不是在前端使用私钥,而是在后端和前端使用私钥,只需存储一个带有令牌的 cookie,该令牌属于单个用户,在最坏的黑客攻击情况下,黑客只需破解一个用户,他需要破解用户的电脑,这比打开一个网页还要难。
如果黑客拿走了私钥,他就是在入侵整个公司帐户。小心使用私钥。
我已经在 mandrill 中成功创建并添加了密钥,并且可以从我在此处托管的 javascript 页面发送电子邮件:
但我遇到的问题是我的山魈钥匙公开可见(在 contact_me.js 文件中)
我曾尝试使用 mandrill 密钥选项仅从某些 IP 地址启用密钥,但这不起作用! (我在关键选项限制中输入了 github 的 ip,但实际上我们不是从那里发送它,而是从用户浏览器发送,对吧?)
如果有人知道如何解决这个问题,从浏览器发送电子邮件,并将其限制在该页面上,我会很高兴听到,
谢谢,oserk+
这是几家公司正在制造的一个永恒的问题,通过 JavaScript 访问 API 而没有 OAuth 是 100% 易受攻击的。
没有办法隐藏你的私钥,只要它在JavaScript内存中就很容易被困。每当一家公司向您展示 JavaScript 中带有私钥的示例代码时,他们显然没有遵循网络安全的工作原理。只需打开网页即可轻松获取私钥
您应该搜索 JavaScript 支持 Oauth 的 API。有什么不同? Oauth 不是在前端使用私钥,而是在后端和前端使用私钥,只需存储一个带有令牌的 cookie,该令牌属于单个用户,在最坏的黑客攻击情况下,黑客只需破解一个用户,他需要破解用户的电脑,这比打开一个网页还要难。
如果黑客拿走了私钥,他就是在入侵整个公司帐户。小心使用私钥。