我在我的网站上托管的第 3 方 JavaScript 小部件是否允许任何人访问我的 API?
Does a hosted 3rd party JavaScript widget I host on my website give my API access to anyone?
为了让我网站上的访问者能够使用第 3 方聊天小部件或被 Google Analytics 识别,他们必须能够访问从前端调用这些第 3 方 API 所需的任何凭据.这是否意味着他们可以轻松获取这些服务并以编程方式代表我向这些服务发送任何请求?
这些服务能否使用发起 HTTP 请求的域作为安全措施?如果我指定小部件将托管在 mywebsite.com 上,是不是任何人都可以伪造一个看起来像是来自该来源的 HTTP 请求?
最后,对于这种情况是否有任何可靠的安全措施,或者仅前端小部件是否固有地允许任何人访问他们使用的资源?
前端指定的任何凭据都可供用户使用。他们可以以任何方式使用它们(让他们知道如何使用),例如,任何用户都可以在他们的网站上安装 GA 或 GTM,并使用您的 ID 将事件从他们的网站推送到您的分析。
为了让我网站上的访问者能够使用第 3 方聊天小部件或被 Google Analytics 识别,他们必须能够访问从前端调用这些第 3 方 API 所需的任何凭据.这是否意味着他们可以轻松获取这些服务并以编程方式代表我向这些服务发送任何请求?
这些服务能否使用发起 HTTP 请求的域作为安全措施?如果我指定小部件将托管在 mywebsite.com 上,是不是任何人都可以伪造一个看起来像是来自该来源的 HTTP 请求?
最后,对于这种情况是否有任何可靠的安全措施,或者仅前端小部件是否固有地允许任何人访问他们使用的资源?
前端指定的任何凭据都可供用户使用。他们可以以任何方式使用它们(让他们知道如何使用),例如,任何用户都可以在他们的网站上安装 GA 或 GTM,并使用您的 ID 将事件从他们的网站推送到您的分析。