我正在开发一个供网站使用的javascript前端库。我的库包含一些网站无法访问的机密。(具体来说,我的库包含密钥,当调用 sign(( 函数时,它会弹出另一个窗口要求用户签名(如何防止使用我的库的网站窃取机密?
所有前端Javascript代码都将向公众公开。这不是隐藏秘密的最佳场所,因为任何人都可以看到它。
因为您说您正在开发一个库,所以您可以将密钥作为该库用户应提供的参数的一部分,如下所示:
// someone using your library
yourLibrary({
secretKey: 'someSecretKey'
})
如果这对您来说不是一个选择,我认为您必须将密钥存储在其他地方的服务器上。