Вопрос проверяет понимание базовых принципов безопасности во frontend-разработке.
Чувствительные данные нельзя хранить в коде, потому что frontend-код доступен пользователю. Любой может посмотреть собранный JavaScript. Это создаёт риск утечки ключей и токенов. Даже переменные из .env не являются защищёнными. Секреты должны храниться только на сервере.
Frontend-приложение по своей природе публично доступно, что делает хранение секретов небезопасным.
Любой пользователь может:
открыть DevTools
посмотреть network-запросы
изучить собранный JavaScript
секретные API-ключи
private tokens
client secrets
пароли
.env не решает проблемуВо frontend:
.env подставляется при сборке
значения становятся частью бандла
пользователь может их увидеть
хранить секреты на backend
проксировать запросы через сервер
выдавать frontend только временные токены
Вывод:
Во frontend нельзя хранить секреты, потому что код и конфигурация полностью доступны конечному пользователю.
Frontend developer
Ментор по Frontend
Полное сопровождение до оффера — без дорогих курсов, с оплатой после трудоустройства
Записаться на консультациюFrontend developer
Ментор по Frontend
Полное сопровождение до оффера — без дорогих курсов, с оплатой после трудоустройства
Записаться на консультацию