1. 靜態部署的安全盲區
現代 Web 應用大量採用 Jamstack 架構將前端靜態化。然而,當前端需要呼叫第三方服務(如廣告 API、外部資料庫或郵件服務)時,若直接在 JavaScript 中硬編碼 (Hardcode) 敏感的 API Keys,等同於將大門鑰匙掛在網頁原始碼中,帶來極大的資安風險。
2. Cloudflare Workers 作為安全中介層
為了解決密鑰外洩的問題,我們不應該讓瀏覽器直接向第三方發起請求。相反地,我們可以利用 Cloudflare Workers 建立一個輕量級的無伺服器中介層 (Serverless Proxy)。前端只需將請求發送至自家的 Worker 節點,由 Worker 補上隱藏在環境變數 (Environment Variables) 中的 API Keys 後,再轉發至第三方伺服器。這樣一來,前端代碼保持絕對乾淨,密鑰也得到妥善保護。
3. 嚴格的 CORS 策略與速率限制
除了隱藏密鑰,設定正確的跨來源資源共用 (CORS) 標頭是防止惡意網站盜用 API 的關鍵。我們在後端嚴格限制 Access-Control-Allow-Origin,確保只有來自授權網域的請求才會被放行。同時,結合 Edge 端的 Rate Limiting(速率限制)機制,能有效抵禦 DDoS 攻擊或惡意的頻繁抓取,保障系統的可用性與預算安全。