У меня есть форма, которая размещена на внешний API. Существует параметр под названием customer_token, который передается в качестве поля ввода. Он используется для аутентификации API, и каждому клиенту назначается один токен. Поле ввода отображается в Firebug Firefox (даже если это скрытое поле).

Как мне это скрыть?

Опции Используя JavaScript, как я и думал изначально

Я думаю, что использование javascript для создания этого поля ввода во время выполнения перед отправкой формы и немедленное удаление поля будет работать, но поле все равно появится на мгновение. Поэтому, даже если человек не может получить его вручную, я боюсь, что сканер или паук (я не знаю точного термина - но какой-то автоматический скрипт) может получить токен клиента. Есть ли лучшее решение для этого? После отправки формы та же самая форма остается отображаемой.

Использование одноразовой концепции токенов, предложенной Ikke

Я не уверен, как это будет работать? Для обработки любого запроса API требуется правильное значение токена клиента. Таким образом, даже для генерации одноразового токена и возврата необходимо отправить запрос с токеном клиента. Таким образом, каждый сможет увидеть значение моего токена клиента, а также отправить запрос на получение одноразового токена и его использование. Так как же это решить проблему?

Постановили ПроверьтеКак отправить форму на мой сервер, а затем в API, вместо того, чтобы отправлять напрямую (по соображениям безопасности)? Спасибо, Сандипан