編集可能なJavaScriptとAjaxを

Question

まあ、私は非jQueryのAjaxの機能を持っている：

function callAjax(){ //will be sent to node server 
    var xmlhttp; 
    // compatible with IE7+, Firefox, Chrome, Opera, Safari 
    xmlhttp = new XMLHttpRequest(); 
    xmlhttp.onreadystatechange = function(){ 
     if (xmlhttp.readyState == 4 && xmlhttp.status == 200){ 
     canAjax = true; 
     //do something 
     } 
    } 
    xmlhttp.open("GET", "string", true); 
    xmlhttp.send(); 
} 

と、それを呼び出す関数：

function a(){ 

    if(mouseIdle && canAjax){ 

    callAjax() 
    } 

} 

これは、私は私のクライアントに与えるAPIの一種であります次のようになります。

<script src = "mysrc"> 

問題は、誰でも簡単に削除できます（クライアントを含む）。私は理解できませんそれを編集不能にする方法、または少なくとも予防する方法。私はちょうど私のJavaScriptコードが内側から触れることができないようにしたい、どのようにそれを行うことができますか？

Answer 1

クエンティン氏によると、クライアント側でJavaScriptを制御することはできません。それはウェブの仕組みだけです。

トークンを使用して簡単な認証システムを実装できます。

あなたのトークンは、現在の時間のSHA256ハッシュのようなブルー​​トフォース攻撃を阻止するためには、推測が困難なものでなければなりません。 SHA256のための空のハッシュは以下の通りです：

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 

次に、あなたのデータベース（MongoDBは、MySQLやその他）で、このトークンキーを救うことができると、あなたは彼らが作る各要求に自分のトークンを送信するようにクライアントを義務づけるする必要があります。

この後は、そのキーの使用割当を検証し、配信するかどうかを決定するだけです。

Answer 2

できません。

クライアントに送信するものは、エンドユーザーが編集したり、複製したり、編集したり、別のWebサイトに配置することができます。

Ajaxエンドポイントへのアクセスを制限する場合は、保護をサーバーに置く必要があります。たとえば、IPアドレスリンクレート制限があります。