Leanplum api密钥暴露在客户端javascript上?
Posted
技术标签:
【中文标题】Leanplum api密钥暴露在客户端javascript上?【英文标题】:Leanplum api keys exposed on client side javascript? 【发布时间】:2018-06-19 14:58:23 【问题描述】:我正在构建 Web 应用程序,并且我正在使用 leanplum 进行推送通知和消息传递。 Leanplum 提供了这样的 api 密钥
key='absc......'
app_id ='prod_abc.....'
在客户端浏览器上加载的客户端javascript文件上公开这两个键是否可以保存?公开这些密钥可能会产生什么影响?
【问题讨论】:
【参考方案1】:Leanplum 具有生产密钥和开发密钥。
使用生产密钥,您可以发送 API 请求,例如 Track。假设攻击者知道用户 ID,攻击者可以向服务器发送垃圾,但仅此而已。
使用开发密钥,您可以连接到套接字并更新应用内消息模板和其他配置内容。
所以在生产中始终使用生产密钥!
【讨论】:
所以开发密钥不应该暴露在客户端javascript上吗?以上是关于Leanplum api密钥暴露在客户端javascript上?的主要内容,如果未能解决你的问题,请参考以下文章
配置错误的Django应用程序可暴露秘密API密钥和数据库密码