有人可以使用我的api密钥在我的YouTube频道上进行CSRF攻击吗?

时间:2015-02-17 18:14:27

标签: javascript api youtube

所以我正在构建一个简单的AJAX应用程序,该应用程序从我的播放列表中获取YouTube视频的缩略图,该视频在JavaScript中使用这样的请求:

GET https://www.googleapis.com/youtube/v3/playlistItems?...&key={YOUR_API_KEY}

但是当然任何可以查看源代码的人都可以看到我的API密钥。 YouTube表示API密钥不用于授权,因此从理论上讲,没有理由不将其包含在客户端应用中。但是,YT API指南还说您可以使用API​​密钥来执行将视频添加到播放列表等操作。

我当然把REFERRER设置为我自己的URL。但似乎在xmlhttp请求上伪造引用者并不太难。通过公开我的API,我是否让自己容易受到将播放列表放在播放列表上的人的影响?

1 个答案:

答案 0 :(得分:0)

好的,通过一些研究我可以看出这并不是真正的危险。要将视频添加到播放列表,您需要使用OAUTH2客户端ID登录。只要没有人知道这个ID(或者更好,如果我不创建一个,如果我不需要它),那么没有人可以做添加和删除视频等事情。