1. Dom
  2. Pytanie i odpowiedź
  3. Jaki jest sens klucza API javascript, gdy jest widoczny dla każdego, kto ogląda kod js?

Jaki jest sens klucza API javascript, gdy jest widoczny dla każdego, kto ogląda kod js?

2011-02-05 5 views
6

Widziałem usługi takie jak Google, które wymagają dodania klucza API podczas wykonywania wywołania javascript, w ten sposób.Jaki jest sens klucza API javascript, gdy jest widoczny dla każdego, kto ogląda kod js?

https://www.google.com/jsapi?key=thekeygoeshere

Jaki jest sens posiadania tego klawisza API javascript, gdy kod jest widoczny, a klucz można odczytać. Czy ktoś nie może po prostu skopiować tego klucza i użyć go do swojej własnej witryny? A może jest coś innego, co robią w tle, aby upewnić się, że klucz należy do strony wykonującej połączenie?

Źródło

2011-02-05 zmol

Odpowiedz

6

Prawdopodobnie sprawdzają nagłówek HTTP referer.

Większość użytkowników wysyła to. Więc jeśli jest:

  • Witryna, która pasuje do klucza, mogą działać jako normalne.
  • Witryna, która nie pasuje do klucza, może odrzucić żądanie.
  • Puste, mogą działać normalnie i umożliwiają niewielkiemu ułamkowi użytkowników korzystanie z interfejsu API na niewłaściwej stronie.

Większość odwiedzających stronę za pomocą niewłaściwego klucza zostanie zablokowana, więc nie będzie warto używać niewłaściwego klucza na stronie.

Źródło

2011-02-05 14:10:00 Quentin

+0

To byłoby dość ryzykowne, ponieważ Referer-Header może być pusty zgodnie ze standardem (i jest dla wielu użytkowników, ponieważ nie chcą, aby strona wiedziała, gdzie była wcześniej). – anroesti

+0

Zaktualizowano odpowiedź wyjaśniającą, dlaczego nie jest to naprawdę ryzykowne. – Quentin

+0

Ten argument zawsze się pojawia, ale jeśli nawet 10% użytkowników go włączyło (i jestem pewien, że jest o wiele większy), zauważyłbyś, gdyby strona z dużym natężeniem ruchu używała twojego klucza. – ZoFreX

0

Kod google użyje AJAX lub czegoś podobnego, co spowoduje nawiązanie połączenia ze swoim serwerem z wyszczególnieniem klucza oraz URL strony, na której jest używany. Google może następnie sprawdzić, czy jest to właściwa strona dla tego klucza i zatrzymać działanie kodu, jeśli nie.

Chociaż interfejs API mapy działa na dowolnej stronie z dowolnym kluczem.

Źródło

2011-02-05 14:12:46 gunwin

+0

Od wersji 3 interfejs API mapy nie wymaga już klucza (chyba że korzystasz z usługi Premier) – Matt

 Powiązane problemy

  • Brak powiązanych problemów^_^