我的应用程序提供了一个API密钥和Javascript代码放在他们的网站上(类似于谷歌anayytics代码)。
API中的所有调用都使用JSONP与我们的服务器进行通信。
由于API密钥是敏感的,我们会让用户回来并要求为域提供白名单选项。这类似于Linkedin,Facebook,Twitter和Google。
我应该使用referrer选项来限制域吗?但是流氓总是可以使用普通的http api手动添加它并获得访问权。
加密(或散列?)并在API中发送window.location并在服务器端比较它是一个好主意。