Работа с api/hash или как правильно защитить http/fetch запросы на сайте?

Question

[N0Escape]

Добрый день.
Зараннее уточню, текущий мой проект создан полностью без БД и серверной логики, а также у меня нету большого опыта в создании сайтов с серверной логикой и запросами на бэкэнд, потому прошу в ответах учитывть то, что я не шибко разбираюсь в определенных понятиях и алгоритмах, таких как CORS и тд. Я лишь прошу предложить в ответах способы типа Best practice при работе с внешним api и зашитой ключей/hash_id

Ситуация такая:
На сайте присутствует форма которая используя api из formspree делает post запрос чтобы отправить данные с формы на мою почту. Запрос на formspree можно сделать только post запросом но на 2 эндпоинта (в зависмости от пожелания):

• через обычный запрос на спец ссылку сервиса formspree: https://formspree.io/f/хэш_айди
  
• через использование библиотеки и ее хука с передачей в него "хеш_айди"
  

В любом из вариантов, при нажатии на кнопку отправки идет запрос, и все работает отлично, однако, данный запрос можно отследить через вкладку Network в любом браузере и заполучить хеш_айди или ссылку с хеш_айди.
На сколько я понял из изучения данной темы, скрыть данный запрос из Network никак не получится, но и в тоже время, любой сможет используя данную ссылку создать простой цикл на localhost и заспамить мне почту и/или использовать весь лимит отправки писем.

З.ы. уточню, варианты captcha и Restrict to domain можно не предлагать, ибо captcha уже стоит и на сервисе formspree функция Restrict to domain, гдето так спрятана что я не нашел

Answer 1

[Rsa97]

Лучший (и единственный) вариант - работать через свой бэкенд и нигде никогда не светить ключи от посторонних API. На своём бэке вы можете вводить любые ограничения на частоту и количество запросов к чужому API.
Всё, что попадает к клиенту, или приходит от клиента - небезопасно по умолчанию.
А Restrict to domain вам не поможет, в браузере можно написать JS-код, который будет работать с вашим ID прямо на вашей же странице и массово генерировать запросы.

Comments

[N0Escape]

Спасибо за ответ, извиняюсь что не уточнил сразу, я стараюсь сделать проект используя только front-end, я не разбираюсь в back-end и никогда не делал ничего сложнее json-server. Потому ищу варианты реализации задумки без серверной части. (По логике, будь у меня сервер и знания как с ним работать я бы не парился с использованием внешних сервисов и сделал отправку сообщения на почту напрямую)
У меня есть несколько причин почему я не пытаюсь создать сервер:
-отсутствие опыта в создании серверной логики
-отсутствие опыта в депллое и хостинге сайта с серверной частью

[ThunderCat]

N0Escape, Что-то секьюрное без бэкенда создать не получится в любом случае. Поиграться со всякими фронтенд решениями вы конечно можете, но с таким подходом вас вы*бут за 3 секунды, так как ключи хранятся в открытом виде. Все равно что положить ключ от сейфа под коврик рядом с сейфом в проходном месте...

[Rsa97]

N0Escape,

У меня есть несколько причин

Кто хочет - ищет способ, кто не хочет - причину.

[N0Escape]

ThunderCat, хорошо, спасибо за ответ, жаль конечно, что как бы не старался, не выйдет обойтись без сервера, не хотелось его делать для обычного лендинг-сайта...
Что ж, буду искать инфу как создать мини сервер (без знаний в этой области) для моих задач.

[N0Escape]

Rsa97, Частично согласен с этим выражением, однако без причин не будет и следствия хД

[szQocks]

N0Escape, если это единичный случай, когда тебе надо развернуть сервер, лучше обратись на фриланс тут на хабре даже, там тебе сделают за 2-3к всё, привяжут твою форму, сделают базовый сервер и отправят твои данные на твою почту + ещё и задеплоят это всё на хост

иначе ты будешь мучаться минимум пару дней и возможно до бесконечности, т.е не сможешь сделать, мало же сделать ещё и задеплоить надо это всё, все эти мучения не стоят этого

[szQocks]

N0Escape, нормальный чел, который хотя бы мидл, и который трогал как-то бэк и деплой, за час всё это сделает примерно

[N0Escape]

szQocks, спасибо за совет, но лучше уж самому разобраться, ибо в любом случае в будущем и не такое понадобится.