如何限制API仅在浏览器中运行？

我使用的是节点js，并设置了策略来限制API的准确性，而不是在浏览器中。为此，我设置了以下条件

app.route('/students').all(policy.checkHeader).get(courses.list)

exports.checkHeader =  function(req, res, next) {
    var headers = req.headers;
       if ( headers['upgrade-insecure-requests'] || headers['postman-token']) {
        res.status(401).json('Page not found');
    } else {
        return next();
    }

}

我不确定我的流程是否正确。我正在搜索仅对浏览器存在的公共参数(Header-PARAMETER)。有谁能帮助我吗？谢谢。

---

解决方案

这是不可能的。

您无法控制哪些类型的客户端向您的HTTP服务器发出HTTP请求。

您不能可靠地确定您收到的是哪种类型的客户端请求。

任何自定义客户端都可以发送(或不发送)带有任何值的升级-不安全-请求标头。同上，邮递员-令牌。用户代理也是如此。其他一切也是如此。

限制它的唯一方法是在请求中要求某种类型的秘密。如果您希望常规Web浏览器访问该密码，则该密码将通过浏览器开发工具泄露。