问题描述
为了使我网站上的访问者能够使用 3rd 方聊天小部件或被 Google Analytics 识别,他们必须有权访问从前端调用这些 3rd 方 API 所需的任何凭据。这是否意味着他们可以轻松获取这些服务并以编程方式代表我向这些服务发送任何请求?
这些服务是否可以使用发起 HTTP 请求的域作为安全措施?如果我指定将小部件托管在 mywebsite.com 上,是不是任何人都可以伪造看起来来自该来源的 HTTP 请求?
最后,对于这种情况,是否有任何可靠的安全措施,或者仅前端小部件是否天生允许任何人访问他们使用的资源?
解决方法
在前端指定的任何凭据都可供用户使用。他们可以以任何他们想要的方式使用它们(让他们知道如何使用),例如,任何用户都可以在他们的网站上安装 GA 或 GTM,并使用您的 ID 将事件从他们的网站推送到您的分析。