Javascript 如何防止我在网页上使用的API密钥被滥用
如何屏蔽API密钥和令牌(在JS代码和http调用头中),使使用Firebug或开发人员工具的人无法提取和使用它?例如,谷歌地图API键 Google API密钥在我的HTML文件中 令牌位于http的头中 请求,或URL中的参数Javascript 如何防止我在网页上使用的API密钥被滥用,javascript,api,google-maps,http,Javascript,Api,Google Maps,Http,如何屏蔽API密钥和令牌(在JS代码和http调用头中),使使用Firebug或开发人员工具的人无法提取和使用它?例如,谷歌地图API键 Google API密钥在我的HTML文件中 令牌位于http的头中 请求,或URL中的参数 任何平台中的API都可以使用不受限制的API密钥。但是,您可以选择向API密钥添加限制。一旦受到限制,密钥将仅在支持该类型限制的平台上工作 要为API密钥添加限制,请执行以下操作: 转到谷歌云平台控制台 从项目下拉菜单中,选择包含要保护的API密钥的项目 从导航菜单中
任何平台中的API都可以使用不受限制的API密钥。但是,您可以选择向API密钥添加限制。一旦受到限制,密钥将仅在支持该类型限制的平台上工作 要为API密钥添加限制,请执行以下操作:
- 选择HTTP引用程序(网站)
- 添加推荐人(按照说明操作)
- 单击保存李>
- 限制API,使其只能从您的域中使用。即使其他人看到您的密钥,他们也无法使用它,除非请求来自的网页位于您的服务器/域中。(但是,可能有人能够欺骗请求,就好像它来自您的域。)您还可以限制可以调用哪些API,这使得它对攻击者不太有用李>
- 使用代理服务器,这样您的密钥就不会暴露。您不需要直接调用Google API,而是向服务器发出请求,然后服务器调用Google API并将数据发送回。因为您的代理服务器已经知道您的密钥,所以不需要将私有信息传输到用户的浏览器