怎么限制API仅在浏览器中运行？

本教程将介绍如何限制API仅在浏览器中运行？的处理方法，这篇教程是从别的地方看到的，然后加了一些国外程序员的疑问与解答，希望能对你有所帮助，好了，下面开始学习吧。

问题描述

我使用的是节点js，并设置了策略来限制API的准确性，而不是在浏览器中。为此，我设置了以下条件

app.route('/students').all(policy.checkHeader).get(courses.list)

exports.checkHeader =  function(req, res, next) {
 var headers = req.headers;
 if ( headers['upgrade-insecure-requests'] || headers['postman-token']) {
  res.status(401).json('Page not found');
 } else {
  return next();
 }

}

我不确定我的流程是否正确。我正在搜索仅对浏览器存在的公共参数(Header-PARAMETER)。有谁能帮助我吗？谢谢。

推荐答案

这是不可能的。

您无法控制哪些类型的客户端向您的HTTP服务器发出HTTP请求。

您不能可靠地确定您收到的是哪种类型的客户端请求。

任何自定义客户端都可以发送(或不发送)带有任何值的升级-不安全-请求标头。同上，邮递员-令牌。用户代理也是如此。其他一切也是如此。

限制它的唯一方法是在请求中要求某种类型的秘密。如果您希望常规Web浏览器访问该密码，则该密码将通过浏览器开发工具泄露。

好了关于怎么限制API仅在浏览器中运行？的教程就到这里就结束了，希望趣模板源码网找到的这篇技术文章能帮助到大家，更多技术教程可以在站内搜索。