如何防止有人从客户端javascript代码中获取我的API密钥并开始使用我的HERE订阅进行其他用途。
我注意到HERE提供了一个选项来保护应用程序管理页面上某个域的API密钥:"针对特定域保护应用程序凭据"。我已经设置了此选项并将域放在那里但我没有看到我的应用行为有任何变化。
应用程序仍在我的电脑上继续正常工作。 HERE API不能停止工作,因为Web服务器在localhost上运行,而不是在定义的域上运行。
我的应用程序在浏览器上完全运行,只有静态文件来自服务器(http://localhost:8083/index.html)。我正在使用HERE javascript API。
我测试了在不同于localhost的域上运行外部云服务上的应用程序。结果是一样的。我的结论是,针对特定域设置"安全应用凭据"只是没有影响,不起作用。还检查了api响应头并且接受了所有来源。
Access-Control-Allow-Origin:*
答案 0 :(得分:0)
在HERE仪表板中,您可以将应用程序ID和应用程序代码设置为仅在特定域或一组域上工作。如果令牌固定在某个域中,则有人获取您的令牌并不重要,因为只有列出的域可以使用它们。如果您不将令牌保护到域中,那么只要有人找到令牌,便可以使用您的令牌。