我已获得域名的Google Maps API密钥。
我获取密钥时提供的示例显示了请求参数中嵌入的密钥,例如:
<script src="http://maps.google.com/maps?file=api&v=2&sensor=true_or_false&key=my-key" type="text/javascript"></script>
我感谢请求中的referrer字段必须与我的域匹配,在脚本标记中使我的密钥可见是否安全?或者我还有其他步骤吗?
答案 0 :(得分:82)
考虑到密钥必须包含在HTML页面的<script>
标记中,要从Google的服务器加载JS文件/数据,您无能为力:
但是,这并不重要:如果有人试图在另一个域上使用此密钥而不是你的,他们将获得一个Javascript警报 - 这对其他用户来说并不好。
所以:
答案 1 :(得分:19)
Google API控制台上有一项设置可以保护您的API带宽使用不被其他域/用户使用。您可以在API控制台上使用referrer来限制和保护它。 API密钥将拒绝没有符合您限制条件的引荐请求。
以下是Google针对API Key的屏幕截图,该屏幕只能由Google使用其两个域名。
答案 2 :(得分:11)
虽然这个问题已有几年历史,但它是一个非常好的问题。据我所知,它暴露API密钥,即使它们是域匹配的,仍然可能导致滥用。这里有Security Stack Exchange的帖子更详细地介绍了这一点。
Google可以在此发布您可以采取的避免潜在滥用行为的步骤:
安全使用API的最佳做法指南 https://support.google.com/cloud/answer/6310037?hl=en
虽然我建议把所有这些都放在船上,但有一种方法可以处理Brabster发布的特定示例,并将密钥存储在环境变量中。这样,您只需将密钥替换为存储在项目中的服务器端变量即可。但是,请确保不要将存储密钥的文件提交到公共存储库。
答案 3 :(得分:2)
我不明白为什么你会打扰。密钥只对您的域名有效吗? IIRC,其中编码的唯一信息是您的域名,除了Google可能添加的任何信息,例如生成的时间。
答案 4 :(得分:0)
您应该使用后端/服务器端来保护和处理密钥。在我的情况下,我使用Django f / w服务器端,它可以提供ajax调用从服务器脚本/ db获取密钥,然后将其传递到谷歌api。
答案 5 :(得分:-4)
您可以使用php
完成此操作
1.将密钥保存到名为 key.ini 的文件中
googlemaps_api_key=xxxxxxxxxxxxxxxxx
2.将文件保存在网站根文件夹外部的some_folder中,如 home / my_website / some_folder / key.ini ,其中我的网站根目录为 home / my_website / public_html / >
3.在.php页(而不是.html页)中调用最新的Google Maps脚本,并添加
<?php $config['googlemaps_api_key']?>
而不是像
中的实际API密钥。
<script src="https://maps.googleapis.com/maps/api/js?key=<?php $config['googlemaps_api_key']?>&callback=initMap" async defer></script>
现在,该网页将不会向公众显示实际的密钥。结果将是
<script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async="" defer=""></script>
您还可以更改 some_folder 和 key.ini 来进一步限制访问。
请参阅此处,以安全地存储所有凭据
the language report