创建客户端 ID 时 "Javascript Origins" 的用途是什么
What is the purpose of the "Javascript Origins" when creating a Client ID
当您为 Web 应用程序创建 Google API 凭据时,您表示允许 Javascript 来源,这只是一个 URI 列表。我想了解这些的目的是什么。
这意味着任何提供客户端 ID 的 JS 代码都必须来自允许的来源才能访问 Google 的 API(例如日历 API或 Google+ API)。但这有什么帮助?
客户端 ID 是 public 知识,欺骗来源对于恶意代码来说是微不足道的。
我做的第一件事是添加“http://localhost:8080”,这样我就可以从我的开发环境中 运行 编写代码,当然每台计算机都会自我识别为 "localhost"所以我已经有效地否定了它的任何安全性。
有什么意义呢?
提前致谢!
起源点是为了让开发人员可以指定客户端可以来自哪些域 运行。因此,欺骗因素被删除。例如,当使用 Google Drive 集成时,google iframe 加载和 HTTP header:
x-frame-options:ALLOW-FROM https://www.yourorigin.com
header 指示浏览器仅在来自 yourorigin.com 时加载。即在 Google 开发者控制台创建客户端时指定的 URL 。
当您为 Web 应用程序创建 Google API 凭据时,您表示允许 Javascript 来源,这只是一个 URI 列表。我想了解这些的目的是什么。
这意味着任何提供客户端 ID 的 JS 代码都必须来自允许的来源才能访问 Google 的 API(例如日历 API或 Google+ API)。但这有什么帮助?
客户端 ID 是 public 知识,欺骗来源对于恶意代码来说是微不足道的。
我做的第一件事是添加“http://localhost:8080”,这样我就可以从我的开发环境中 运行 编写代码,当然每台计算机都会自我识别为 "localhost"所以我已经有效地否定了它的任何安全性。
有什么意义呢?
提前致谢!
起源点是为了让开发人员可以指定客户端可以来自哪些域 运行。因此,欺骗因素被删除。例如,当使用 Google Drive 集成时,google iframe 加载和 HTTP header:
x-frame-options:ALLOW-FROM https://www.yourorigin.com
header 指示浏览器仅在来自 yourorigin.com 时加载。即在 Google 开发者控制台创建客户端时指定的 URL 。