javascript - 当任何查看 js 代码的人都可以看到 javascript API key 时,它有什么意义

标签 javascript jquery security api

我见过像 Google 这样的服务要求您在进行 javascript 调用时添加 API key ,就像这样。 

https://www.google.com/jsapi?key=thekeygoeshere

当可以看到代码并且可以读取 key 时,拥有这个 javascript api key 有什么意义。不能有人复制这个 key 并将其用于他们自己的站点吗?或者他们是否在后台做了其他事情来确保 key 属于进行调用的站点?

最佳答案

大概他们会检查 referer HTTP header 。

大多数用户发送它。所以如果是:

  • 匹配 key 的站点,他们可以正常运行。
  • 不匹配 key 的网站,他们可以拒绝请求。
  • 空白,它们可以正常运行,并允许一小部分人在错误的站点上使用 API。

使用错误 key 访问网站的大多数访问者将被阻止,因此一开始就不值得在网站上使用错误 key 。

关于javascript - 当任何查看 js 代码的人都可以看到 javascript API key 时,它有什么意义,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4907243/

上一篇:javascript - GreaseMonkey Hello World

下一篇:javascript - 进行 oauth 时如何创建弹出窗口?

相关文章:

php - 谷歌地图,点击使用集群的标记

javascript - Chrome 应用程序、文件系统 API : chooseEntry method isn't working

javascript - JW Player在ie9和ie10下不能播放MP4视频格式的视频

c - Damn Vulnerable Linux 中缓冲区溢出的有效示例

ajax - 暴露 session 的 CSRF 保护 token 安全吗?

javascript - 如何为 javascript maven 工具打包 dojo?

javascript - 过滤数字数组,其中 0 是有效输入

javascript - Jquery在不使用split的情况下在div内的x个单词后插入html

javascript - Html 链接在后台调用 Php 函数

ios - Parse SDK 值得吗? (性价比高?)

©2024 IT工具网  联系我们