我见过像 Google 这样的服务要求您在进行 javascript 调用时添加 API key ,就像这样。
https://www.google.com/jsapi?key=thekeygoeshere
当可以看到代码并且可以读取 key 时,拥有这个 javascript api key 有什么意义。不能有人复制这个 key 并将其用于他们自己的站点吗?或者他们是否在后台做了其他事情来确保 key 属于进行调用的站点?
最佳答案
大概他们会检查 referer HTTP header 。
大多数用户发送它。所以如果是:
- 匹配 key 的站点,他们可以正常运行。
- 不匹配 key 的网站,他们可以拒绝请求。
- 空白,它们可以正常运行,并允许一小部分人在错误的站点上使用 API。
使用错误 key 访问网站的大多数访问者将被阻止,因此一开始就不值得在网站上使用错误 key 。
关于javascript - 当任何查看 js 代码的人都可以看到 javascript API key 时,它有什么意义,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4907243/