隐藏表单输入字段以防止使用 firebug 访问的最佳方法？

Question

我有一个发布到外部 API 的表单。有一个名为 customer_token 的参数，它作为输入字段传递。它用于 API 的身份验证，每个客户都会分配一个令牌。输入字段在 Firefox 的 Firebug 中是可见的（即使它是隐藏字段）。

我该如何隐藏它？

选项 按照我最初的想法使用 javascript

我认为在提交表单之前使用 javascript 在运行时创建该输入字段并立即删除该字段将起作用，但该字段仍然会暂时出现。因此，即使一个人无法手动获取它，我担心爬虫或蜘蛛（我不知道确切的术语 - 但一些自动化脚本）可能会获取客户令牌。对此有更好的解决方案吗？表单提交后，仍显示相同的表单。

按照 Ikke 的建议使用一次性代币概念

我不确定它将如何运作？ API 需要正确的客户令牌值才能处理任何请求。因此，即使要生成一次性令牌并返回，也必须发送带有客户令牌的请求。这样任何人都可以看到我的客户令牌价值，他们还可以发送请求以获取一次性令牌并使用它。那么它是如何解决问题的呢？

已解决 检查 如何将表单发布到我的服务器，然后发布到 API，而不是直接发布（出于安全原因）？ 谢谢， 桑迪潘

Answer 1

这是不可能的。 Firebug 只是读取 DOM 的实际状态，因此即使是在后期添加的，仍然可以检索到。

这种安全方式称为“通过隐匿性实现的安全性”，是一种非安全性。您必须以另一种方式解决它，例如让服务器代替执行请求。

您让用户将表单提交到服务器。然后使用 curl，使用正确的用户代码调用 Web 服务。

Answer 2

恐怕我认为这是不可能的。

如果 Firebug 是通过 Javascript 插入的，那么它仍然会看到该元素，因为它会监视 DOM 树。如果此输入暴露了安全漏洞，那么服务器端代码的工作就是验证/修复它。

有关 API 的更多详细信息可能会帮助某人更详细地回答这个问题。

我希望这有帮助