ฉันได้รับคีย์ Google Maps API สำหรับโดเมนของฉัน
ตัวอย่างที่ให้ไว้เมื่อฉันได้รับคีย์ของฉันจะแสดงคีย์ที่ฝังอยู่ในพารามิเตอร์คำขอเช่น:
<script src="http://maps.google.com/maps?file=api&v=2&sensor=true_or_false&key=my-key" type="text/javascript"></script>
ฉันขอขอบคุณที่ช่องผู้อ้างอิงในคำขอต้องตรงกับโดเมนของฉันปลอดภัยหรือไม่ที่จะทำให้คีย์ของฉันปรากฏในแท็กสคริปต์และสิ่งที่คล้ายกัน หรือมีขั้นตอนอื่นใดที่ฉันควรทำ?
คำตอบ:
เมื่อพิจารณาถึงคีย์นั้นจะต้องรวมอยู่ใน<script>แท็กของหน้า HTML ของคุณในการโหลดไฟล์ JS / ข้อมูลจากเซิร์ฟเวอร์ของ Google คุณไม่สามารถทำได้:
ถึงกระนั้นก็ไม่สำคัญจริงๆ: หากมีใครพยายามใช้คีย์นี้ในโดเมนอื่นที่ไม่ใช่ของคุณพวกเขาจะได้รับการแจ้งเตือน Javascript ซึ่งไม่ดีสำหรับผู้ใช้ของคุณ
ดังนั้น:
มีการตั้งค่าบนคอนโซล Google API ที่สามารถป้องกันแบนด์วิดธ์ API ของคุณจากการใช้งานโดยโดเมน / ผู้ใช้อื่น คุณสามารถ จำกัด และป้องกันได้โดยใช้ผู้อ้างอิงบนคอนโซล API คีย์ API จะปฏิเสธคำขอโดยไม่มีผู้อ้างอิงที่ตรงกับข้อ จำกัด ของคุณ
นี่คือภาพหน้าจอจาก Google สำหรับคีย์ API ที่ Google frowm ใช้ได้เฉพาะสองโดเมนเท่านั้น
แม้ว่าคำถามนี้จะมีอายุไม่กี่ปี แต่ก็เป็นคำถามที่ดีมาก ตามที่ฉันเข้าใจว่าการเปิดเผยคีย์ API แม้ว่าจะตรงกับโดเมนก็ยังอาจนำไปสู่การละเมิดได้ มีโพสต์เกี่ยวกับSecurity Stack Exchangeที่นี่ซึ่งครอบคลุมรายละเอียดเพิ่มเติม
Google เผยแพร่ขั้นตอนที่คุณสามารถทำได้เพื่อหลีกเลี่ยงการละเมิดที่อาจเกิดขึ้นที่นี่:
แนวทางปฏิบัติที่ดีที่สุดสำหรับการใช้ API อย่างปลอดภัย: https://support.google.com/cloud/answer/6310037?hl=th
แม้ว่าผมจะแนะนำการทั้งหมดของมันบนกระดานมีวิธีการที่จะจัดการกับตัวอย่างที่เฉพาะเจาะจงที่ถูกโพสต์โดย Brabster และว่าในการจัดเก็บที่สำคัญในนั้นตัวแปรสภาพแวดล้อม วิธีนี้ทั้งหมดที่คุณต้องทำคือการแทนที่คีย์สำหรับตัวแปรฝั่งเซิร์ฟเวอร์ที่เก็บไว้ในโปรเจ็กต์ของคุณ อย่างไรก็ตามอย่าคอมมิตไฟล์ที่เก็บคีย์ไว้ในที่เก็บสาธารณะ
คุณควรใช้แบ็คเอนด์ / ฝั่งเซิร์ฟเวอร์เพื่อป้องกันและจัดการคีย์ ในกรณีของฉันฉันใช้ฝั่งเซิร์ฟเวอร์ Django f / w ซึ่งสามารถให้บริการการโทร ajax เพื่อรับคีย์จากสคริปต์เซิร์ฟเวอร์ / db จากนั้นส่งไปยัง google api