Javascript 有人能用我的api密钥对我的youtube频道进行CRSF攻击吗?
因此,我正在构建一个简单的AJAX应用程序,从我的播放列表中获取YouTube视频的缩略图,该播放列表在JavaScript中使用如下请求:Javascript 有人能用我的api密钥对我的youtube频道进行CRSF攻击吗?,javascript,api,youtube,Javascript,Api,Youtube,因此,我正在构建一个简单的AJAX应用程序,从我的播放列表中获取YouTube视频的缩略图,该播放列表在JavaScript中使用如下请求: GET https://www.googleapis.com/youtube/v3/playlistItems?...&key={YOUR_API_KEY} 当然,任何可以查看源代码的人都可以看到我的API密钥。YouTube表示API密钥不用于授权,因此理论上没有理由不将其包含在客户端应用程序中。但是YTAPI指南还说,您可以使用API键来做一
GET https://www.googleapis.com/youtube/v3/playlistItems?...&key={YOUR_API_KEY}
当然,我已经将推荐人设置为我自己的URL。但在xmlhttp请求上伪造推荐人似乎并不难。通过公开我的API,我是否容易受到有人在我的播放列表中添加pron之类的攻击?好吧,通过一些研究,我可以看出这并不是真正的危险。要将视频添加到播放列表中,您需要使用OAUTH2客户端ID登录。只要没有人知道此ID(或者更好,如果我不需要它,甚至不创建一个),那么就没有人可以执行添加和删除视频之类的操作