Forum Posts

Md Zahid Hasan
Apr 13, 2022
In Project Contributions
验证服务为您的帐户提供 API 密钥,允许您访问 API。拥有此密钥的任何人都可以访问您支付的服务。对表单进行实时验证也需要 API 密钥,并且必须包含在代码中。 加载网页就像烤蛋糕一样。最初,只有面包店知道整个配方(包括秘密成分,在这种情况下是 API 密钥)。然而,一旦烘烤,大部分材料都是固定的,每个人都可以看到。 这同样适用于网络。只需打开浏览器,加载页面,电话号码清单 然后打开代码检查器即可查看您所看到的内容(或客户端的代码)。代码的可见部分通常是无害的。但是,如果工程团队决定以一种简单的方式将 API 密钥包含在他们的客户端代码中,则恶意人员可能会进来获取密钥并使用他们支付的验证信用。 经验丰富的工程团队可以通过创建一种方法来保护 API 密钥的机密性(在配方的机密部分或后端代码中)来防止这种情况发生。然而,这很容易被忽视,需要更多的工作才能以安全和快速的方式实施。 在假期、新年伊始,甚至在情人节等大批量销售期间,增加您的邮件列表并赚钱的机会是巨大的。但是,这也是恶意人员利用您的业务寻找未受保护的表单或 API 密钥的好时机。
0
0
4
Md Zahid Hasan
More actions