
Токен легко своровать на сайте. Как защититься?
Может кто-то спрашивал: токен легко своровать на моем сайте. Т.е. сервис использую на общедоступном сайте. Можно ли как то защититься?
Ответ

Можно сделать привязку по домену. Если нужно – напишите логин и домен в комментариях (не будут опубликованы).

Интересно, если запрос уходит с клиентской стороны (ajax-запрос из браузера, с открытой дырой в виде "Access-Control-Allow-Origin: *", простая привязка на стороне dadata к домену, обходится среднестатистическим спецом не просто, а очень просто. Можете прокомментировать, как защититься от этого?

"Access-Control-Allow-Origin: *" — это просто хедер, а следовательно при любом значении он обходится. Пока запросы инициируются из браузера пользователя, любую защиту можно обойти.

Пока запросы инициируются из браузера пользователя, любую защиту можно обойти. Другое дело, что обычно злоумышленники ленивы и недалёки, и предпочитают не заморачиваться — поэтому простой привязки к домену достаточно.
Привязка к IP-адресу при работе из браузера лишена смысла, потому что запросы идут с компьютеров конечных пользователей, и IP-адреса будут именно их (а их великое множество).
Проксирование через ваш собственный сервер точно так же не обезопасит, потому что злодей скопирует запрос с сайта и прекрасно будет слать его на ваш проксированный адрес. Вы можете проксировать с использованием CSRF-токена, но и это при желании можно обойти.
Сервис поддержки клиентов работает на платформе UserEcho
Можно сделать привязку по домену. Если нужно – напишите логин и домен в комментариях (не будут опубликованы).