我计划使用TrackJS来监控我的应用程序中的错误,但通过阅读文档,似乎我的私人令牌必须在浏览器上暴露:
<script src="https://cdn.trackjs.com/agent/v3/latest/t.js"></script>
<script>
window.TrackJS && TrackJS.install({
token: "YOUR_TOKEN"
});
</script>
API有我能做的请求限制。因此,攻击者可以通过读取源代码来窃取我的令牌,并使用它向TrackJS API发出许多请求。我怎样才能防止这种攻击?
令牌实际上并不是"私密"的。让别人看也没关系。这与谷歌分析帐户/令牌或任何其他第三方服务标识符没有什么不同。这只是一种让我们知道该把错误放在哪个账户的方法。
您的帐户确实有API密钥和其他不应该共享的东西,但您的安装令牌不在其中。