在 API 调用中隐藏查询字符串

Question

我正在从 JavaScript 调用 Azure API 应用程序。我需要根据应用程序在其下执行的域（mydonain.org parameter1，对于 mydomain.com parameter2）通过 API 将参数发送到后端。但是我需要对用户隐藏这个参数（当用户右键单击并查看 JavaScript 代码时，他们将无法看到该参数）。

如何通过 API 应用将这些参数从 JavaScript 发送到后端并使用户不可见？

$.getJSON("api/searchItems/" + myparam,
   function (Data) {
   ...
  });

myParam 根据应用程序的执行位置具有不同的值。如果它在 mydomain.com 上执行，则为 1，如果在 mydomain.org 上执行，则为 2，依此类推。 但是这段代码没有通过，因为你可以找出参数是什么并直接调用api。

Answer 1

此请求违反了黄金法则：如果它位于客户端，那么无论您尝试多少次客户端都能够找到它，句号。

您确实有几个选项，这是主观的，因为没有提供很多细节。

首先您可以对域进行哈希处理，尽管客户端仍然可以轻松地注入他们自己的 JavaScript 代码并确定您正在哈希处理的域。

其次，您是否在服务器上验证客户端数据？您是否有办法将域与会话（它本身并不是有效的 100% 保证）相关联并拒绝欺骗性域请求？

我不确定将域名作为字符串传递时可能存在什么安全问题（如果有的话）。我认为这与表单无关（可能是查看列表中特定域上的数据）。

最后，你使用的任何服务器端编程语言都应该有一种方法可以让你知道域名是什么，假设你没有从域 B 请求域 A 的信息。