2回答

www说

对于像股票市场数据这样的私人信息，我的第一选择是发布请求。我曾经通过检测浏览器来阻止来自浏览器的 GET API 请求，基于用户代理字符串和自定义头元数据等内容，但根据经验，这不是一个完美的解决方案。我过去使用的另一个技巧是使用简单的加密算法（它不安全但速度快。这只是一种干扰）来加密值。因此，如果有人确实提取了 json 响应，则数据将是垃圾，除非使用密钥解密，在您的情况下，密钥可能是 jwt 令牌。再说一遍，这些技巧对高技术人员的安全没有任何作用，但足以分散常规到平均逆向工程技巧的注意力。另外免责声明，我从未使用 GET 来获取任何重要的财务和股票相关信息。我的规则是 GET 处理普通的填充内容，POST 处理重要的内容。

0 0

0

一只名叫tom的猫

POST如果您想隐藏浏览器窗口中的输出，最好移至此。与 一样GET，浏览器将始终直接显示输出。但请注意，如果有人想查看 API 响应，他们仍然可以使用 JS 模拟 API 调用并在浏览器控制台中查看响应，或者使用 Postman 等客户端来获取响应。如果他们有适当的令牌，他们总是可以检查你的响应，没有办法绕过它。我相信它在新选项卡中也能工作，因为用户已登录，并且 JWT 令牌以可从新选项卡访问的方式存储在 cookie / localstorage / 中。并且您的服务器也能够访问它。如果您使用 JS 应用程序（可能是 React？）发送令牌，并调整您的服务器每次都通过请求标头接受令牌，在这种情况下，仅打开该 url 将不再有效，因为它将在其中丢失令牌请求标头。

0 0

0