#javascript #jquery
Вопрос:
Работа над простым HTML-приложением, которое вызывает API с помощью jQuery. Хотелось бы избежать того, чтобы кто-то получал адрес API (просматривая исходный и/или сетевой трафик) и совершал звонки непосредственно в API без предварительной загрузки HTML-страниц. Подумываю о добавлении заголовка или файла cookie, который API может проверить, чтобы убедиться, что этот запрос исходит от Javascript, встроенного в эту страницу, а не от кого-то, кто напрямую вызывает API. Однако даже это может быть воспроизведено кем-то, кто хочет напрямую связаться с API. Хотелось бы, чтобы это был как можно более простой HTML-проект (реализовать создание Node.js версия приложения или использование Thymeleaf в Spring Boot даст больше возможностей для скрытия API). Похоже, что это ограничение для решения HTML/Javscript. Но, может быть, мы упускаем что-то очевидное. Какие-нибудь советы?
Комментарии:
1. Если у пользователя есть доступ к API, то что именно вы пытаетесь ограничить? Почему для сервера имеет значение, исходил ли запрос от вашего кода на стороне клиента или от их кода?
2. Сайт зарабатывает деньги за счет рекламы (которая подается в формате HTML)