Как спрятать ключи авторизации при HTTP запросах в JS?

Question

[Илья Петров]

При отправке AJAX запроса используются ключи авторизации в заголовках.
Как спрятать эти ключи от просмотра через консоль?
Как вообще в JS можно спрятать данные авторизации?

Сервер, принимающий запрос, не делает проверку по адресу отправки запроса; авторизация по статичным ключам.

Comments

[Wispik]

Никак не спрятать, в девтулс всегда будет видно, какой запрос уходит на сервер

[VolgaVolga]

От кого?

[Илья Петров]

Wispik, какое решение тогда?
Делать защиту на стороне приема запроса?

[Василий Банников]

Илья Петров, от кого защищаться собрался?

[IL_Garik]

Сингл пейдж приложение. Весь обмен данными(в том числе аутентификация) через вебсокет. И запрос и ответ. Таким образом пока соединение установлено, пользователь авторизован. Но тут от стабильности соединения все зависит. Но тут ничего не хранится на клиенте

[VolgaVolga]

IL_Garik,

Весь обмен данными(в том числе аутентификация) через вебсокет.

Мобильные юзеры:

Answer 1

[pLavrenov]

Пустить через nginx прокси который будет добавлять нужное, в тч например параметры запроса и тд

Answer 2

[alexalexes]

В JS - нельзя. От скриптов JS - можно.
cookie с опцией http only. Только устанавливать куку должен сервер, JS тут не при делах, так как вы изолируете важные переменные от JS клиента.

Comments

[Илья Петров]

http only cookie можно через консоль посмотреть?

[Василий Банников]

Илья Петров, можно

Answer 3

[Arnowt]

CFRS token вам в помощь

Comments

[Arnowt]

Они конечно не статичные, но других вариантов нет закрыть апи от сторонних запросов в ЖС

[Александр Лисин]

Использовать php и curl для отправки запроса на авторизацию, остальные данные получать с помощью js.

[Илья Петров]

Александр Лисин, пока остановился на варианте отправлять тело запроса с ключами через бэк,
а через JS обращаться к своему бэку