Можно ли скрыть header заголовки в браузере?

Question

[Артем Прохоров]

Не через браузер конкретному клиенту, а вообще для всех, кто будет подключаться к моему домену?
Я передаю Auththorization: Bearer some_token, и я не хочу чтобы это можно было как то увидеть.

Comments

[Stalker_RED]

можно их не передавать.

[Артем Прохоров]

Stalker_RED, Всм? а как еще я токен то передам? get Параметром не выйдет, так как используется rest api, а во вторых даже если и так, то во вкладке network консоли разработчика будет видно домен и сам токен.

[Stalker_RED]

kotcich, конечно во вкладке network его будет видно. Даже если вы каким-то образом обманите браузер, то клиент может вместо обычного браузера использовать curl или какой-нибудь postman, или wireshark, и все равно увидит заголовок.
Единственный надежный способ "скрыть" его - не передавать совсем.

Answer 1

[Сергей Соколов]

Нельзя.

Пересмотрите схему приложения. Как я понял, вы с сервера хотите передавать в браузеры некий секретный для владельца браузера токен, чтобы с него обращаться к стороннему API, требующему этот токен. Всё, что оказалось у пользователя — считается раскрытым.

Как вариант, запросы к API пропускать через свой сервер. Либо менять этот токен очень часто. Либо смириться со злоупотреблениями токеном.

Comments

[Артем Прохоров]

А если использовать https?

[Сергей Соколов]

kotcich, SSL скрывает коммуникацию от Человека-посередине. Например, провайдера. Но в браузере клиента вся инфа оказывается в открытом виде. От клиента это не спрячет.