Widziałem usługi takie jak Google, które wymagają dodania klucza API podczas wykonywania wywołania javascript, w ten sposób.Jaki jest sens klucza API javascript, gdy jest widoczny dla każdego, kto ogląda kod js?
https://www.google.com/jsapi?key=thekeygoeshere
Jaki jest sens posiadania tego klawisza API javascript, gdy kod jest widoczny, a klucz można odczytać. Czy ktoś nie może po prostu skopiować tego klucza i użyć go do swojej własnej witryny? A może jest coś innego, co robią w tle, aby upewnić się, że klucz należy do strony wykonującej połączenie?
To byłoby dość ryzykowne, ponieważ Referer-Header może być pusty zgodnie ze standardem (i jest dla wielu użytkowników, ponieważ nie chcą, aby strona wiedziała, gdzie była wcześniej). – anroesti
Zaktualizowano odpowiedź wyjaśniającą, dlaczego nie jest to naprawdę ryzykowne. – Quentin
Ten argument zawsze się pojawia, ale jeśli nawet 10% użytkowników go włączyło (i jestem pewien, że jest o wiele większy), zauważyłbyś, gdyby strona z dużym natężeniem ruchu używała twojego klucza. – ZoFreX