- Общий
-
Вопросы
Можно ли делать интеграцию на фронте?
Здравствуйте. Приемлемо ли делать интеграцию с вашим сервисом на фронте, если этот токен будет отправляться вместе с запросом и любой сможет его использовать? Почему некоторые решения предполагают такое взаимодействие, хотя токен светится пользователям ?
Ответ
Здравствуйте, Булат.
Пока запросы инициируются из браузера пользователя, любую защиту можно обойти.
Привязка к IP-адресу при работе из браузера лишена смысла, потому что запросы идут с компьютеров конечных пользователей, и IP-адреса будут именно их (а их великое множество).
Проксирование через ваш собственный сервер точно так же не обезопасит, потому что злодей скопирует запрос с сайта и прекрасно будет слать его на ваш проксированный адрес. Вы можете проксировать с использованием CSRF-токена, но и это при желании можно обойти.
С воровством токенов за все годы работы Дадаты мы практически не сталкивались.
Есть 10 тыс бесплатных запросов, которых типичным злоумышленникам обычно хватает.
Но если будут подозрения — пишите, проверим.
Сервис поддержки клиентов работает на платформе UserEcho
Здравствуйте, Булат.
Пока запросы инициируются из браузера пользователя, любую защиту можно обойти.
Привязка к IP-адресу при работе из браузера лишена смысла, потому что запросы идут с компьютеров конечных пользователей, и IP-адреса будут именно их (а их великое множество).
Проксирование через ваш собственный сервер точно так же не обезопасит, потому что злодей скопирует запрос с сайта и прекрасно будет слать его на ваш проксированный адрес. Вы можете проксировать с использованием CSRF-токена, но и это при желании можно обойти.
С воровством токенов за все годы работы Дадаты мы практически не сталкивались.
Есть 10 тыс бесплатных запросов, которых типичным злоумышленникам обычно хватает.
Но если будут подозрения — пишите, проверим.