我是 Javascript 和 Vue.js 的新手。尝试更多地了解它。现在,在调用将在请求负载中显示密码的 API 登录时,我将面临一个问题。
我想知道它不安全,对吗?如果它是正确的。如何在浏览器中隐藏它?
任何人请帮助或向我建议。
最佳答案
这是一个相当沉重的话题,问题也不是很具体,所以我将在此过程中做出一些假设。
calling an API login that will display a password in the request payload
我怀疑您的意思是,如果您正在查看浏览器开发工具栏中的请求,就会看到密码。
如果是这种情况,这是预料之中的,无法 100% 缓解。我知道人们认为这意味着这意味着数据未加密并开发自定义解决方案来隐藏敏感数据。不过要记住的是,只要您使用 https,浏览器就已经为您加密了。加密发生在请求离开您的浏览器之后,因此您看不到它是加密的,但它以一种对中间任何人隐藏内容的方式传输到指定的服务器。如果您添加一些额外的加密系统,就会增加复杂性,并且只要您同时传递 key ,“中间人” 也可以访问它。目标服务器内的端点也被加密,因此您甚至可以使用 GET 来传递敏感信息,而浏览器和服务器之间的任何人都不知道它是什么,但不要使用 GET,因为 POST 具有额外的好处,例如不将值存储在您的 url 缓存中,并且服务器不太可能将数据存储在日志中。
- 如果正确使用
https,您的数据将在浏览器和服务器之间加密。 - 您应该使用
POST请求发送敏感数据 - 避免在
https之上添加自定义加密。它会增加比安全性更多的复杂性。
还有一些关于将 token 存储在 LocalStorage 与 cookie 中的注意事项。最终决定哪个更好是没有定论,但只要采取适当的预防措施,它们都可以是安全的(虽然我认为 cookie 可以更安全,但前提是你让它们无法被 js 访问,因此这使得在 SPA 环境中与他们合作变得更加困难)
关于vue.js - 在 Vue.js 3 中通过 Axios 调用 API 登录时如何隐藏凭据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67434663/