logo科技微讯

静态网站如何使用包含敏感信息的环境变量

作者:科技微讯
日期:2022-05-10
📝 笔记

这个帖子描述的情景和我遇到的类似。

我用原生 js、css、html 写一个公众号支付页面,想通过 tcb 的 js-sdk 访问云开发资源,为了安全,我的 tcb 需要登录验证身份,这就涉及敏感的登录信息,这些信息在前端如何避免泄漏出去?

纯静态网站无法实现这个功能,需要 nodejs 等后端才可以,所以所有敏感信息都需要由后端处理完成后,再返回给前端。

帖子的需求和我的需求类似,但不完全一样。帖子的需求是请求一个 API 把拿到的数据展示在网页,请求 API 时需要提供 key 等敏感信息,在前端发送 API 请求如何避免 key 泄漏?恐怕无法实现。

网友给出了一些解决方法,例如把静态网站部署在 GitHub,使用 GitHub Action 请求 API 而不是把 API 请求放在客户端,GitHub Action 拿到数据后,把数据保存在在项目的某个位置,然后自动更新项目仓库,前端直接从本地的数据获取信息,避免直接请求 API。

This is totally doable via Github Actions, and Github gives you a way to have secrets or environment variables accessible via the Action. I have one that calls Airtable twice daily using the API key, pulls the json into the repo and rebuilds the website with the updated information. Totally viable and can be set to run on a schedule so you can set it and forget it!

donation赞赏
thumbsup0
thumbsdown0
暂无评论