在WordPress的javascript中留下私有信息（如API键）安全吗？

我在WordPress编辑器中添加了一个媒体按钮，就像代码一样

add_action('media_buttons', 'add_my_media_button');
function add_my_media_button() {
    echo '
            <input id="up_to_chevereto" type="file" accept="image/*" multiple="multiple"/>
            <label for="up_to_chevereto" id="up_img_label"><i class="fa fa-picture-o" aria-hidden="true"></i> upload images to Chevereto</label>
          ';
?>
<style type="text/css">...</style>
<script type="text/javascript">
$('#up_to_chevereto').change(function() {
...
});
</script>
<?php
}

---

我把api密钥留在javascript区域，我想知道这是否安全。

将api密钥留在javascript代码中总是不安全的。 如果没有必要，请参阅Chevereto上的API密钥设置，以限制每个域的使用。

---

如果这样的选项不可行，那么应该避免用javascript呈现API密钥

您是否将API密钥留在javscript或php中？此密钥用于什么API？你能限制每个域的密钥吗？我把我的API密钥留在了javscriptno中，该密钥允许用户基于chevereto将图像上传到图像托管，而不是域名Hanks。关于你的详细答案，我将尽量避免使用javscript中的密钥