API を使用して、セキュリティで保護されたヘッダーを使用してバックボーンからデータを取得しています。
index: function() {
this.collection.fetch({ beforeSend: setHeader });
}
var setHeader = function (xhr) {
xhr.setRequestHeader('Authorization', 'XXXX');
xhr.setRequestHeader('AppKey', 'YYYYY');
}
ページソースを実行すると、「承認」と「AppKey」が表示されます。セキュリティで保護されたデータであるため、非表示にする方法はありますか。
あなたのウェブサイトを訪れた人からページソースでそれを隠す方法はありません. これは、インターネットの仕組みによるもので、すべての Web サイトのコンテンツが訪問者のブラウザにダウンロードされるため、開発者が訪問者から何かを隠すことができれば非常に厄介です。
したがって、それらがソース内のプレーンテキストである場合、ページの訪問者が自分のことを知っているからそれらを隠す方法は本当にありません. そして、それらが何らかの形で隠されていても、そのリクエストが開始されたときに、ユーザーは開発者ツールのネットワークタブをチェックして、そこから情報を取得することができました.
ある種の中間者攻撃 (たとえば、サードパーソンがそれらのヘッダーをキャッチする) を防ぎたい場合は、SSL を使用し (サイトが https を通過するように)、クライアント側の暗号化を行って、ヘッダーが移動しないようにすることができます。暗号化されていないワイヤを介して。
クライアント側の暗号化を開始する場所については、次のとおりです。