Когда вы создаете учетные данные Google API для веб-приложения, вы указываете разрешенный Javascript Origins, который является всего лишь списком URI. Я пытаюсь понять, в чем их цель.Какова цель «Javascript Origins» при создании идентификатора клиента?
Подразумевается, что любой JS-код, который представляет идентификатор клиента, должен быть получен из разрешенных источников для доступа к API-интерфейсам Google (например, API календаря или API Google+). Но как это помогает?
Идентификатор клиента является общедоступным, а спуфинг происхождения будет тривиальным для вредоносного кода.
Первое, что я делаю, это добавить «http://localhost:8080», чтобы я мог запускать код из моей среды разработки, но, конечно, каждый компьютер сам идентифицирует себя как «localhost», поэтому я фактически отрицал какую-либо безопасность от него.
В чем его смысл?
Заранее благодарен!
Хорошо спасибо. Правильно ли утверждать, что когда я добавляю «http: // localhost» к разрешенному происхождению, я в основном подрывал любую безопасность, которую я получал от этой функции? –
Google собирается указать ошибку несоответствия источника, если вы используете localhost, когда ваше приложение в прямом эфире. Пользователь не сможет предоставить ему доступ для рукопожатия oauth. Они могут загрузить копию вашего приложения/сайта, а затем localhost будет соответствовать исходному месту, которое вы установили, поэтому в каком-то смысле да, это позволит кому-то обойти ваше происхождение, но это громоздко. – jprado
Хорошо, имеет смысл. Спасибо! –