我正在使用 javascript 和 Reactjs。我们有一个非常复杂的服务器设置,如果可以使用 .env 会更快。文件来存储我们的 API key 并直接从客户端访问它们。
最佳答案
我确信您可以,但您不应该这样做。尤其是在涉及安全问题时。
浏览器读取、写入或以其他方式交互的所有内容也可供所有用户按照他们认为合适的方式使用。
<小时/>it would be quicker if it was possible to use the .env file to store our API keys and access them directly from the client, [...] there is a way to load .env variable on the code, so its hidden, your just refering to the env file
这将有效地将这些 API key 提供给用户,供他们根据需要使用。 没有方法可以隐藏发送到浏览器的内容。没有什么可以阻止用户为自己修改(或完全重写)客户端应用程序并显示 - 或者更糟糕的是,修改 - 其中存在的任何数据。
这是您的服务器应将每个请求和响应视为潜在攻击的原因之一。请记住,在响应中包含 API key 就很安全,因为潜在的攻击将毫不费力地获取您的 API key 。
关于javascript - 我可以在 Web 应用程序的客户端使用 .env 文件吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36641376/