ドメインのGoogle Maps APIキーを取得しました。
キーを取得したときに提供された例は、リクエストパラメータに埋め込まれたキーを示しています。次に例を示します。
<script src="http://maps.google.com/maps?file=api&v=2&sensor=true_or_false&key=my-key" type="text/javascript"></script>
リクエストのリファラーフィールドがドメインと一致している必要があることを認めています。キーをスクリプトタグなどに表示しても安全ですか?それとも私が取るべき他のステップはありますか?
回答:
キーを<script>HTMLページのタグに含める必要があることを考慮して、GoogleのサーバーからJSファイル/データをロードするには、何もできません。
それでも、それは本当に問題ではありません。誰かがあなたのドメインとは別のドメインでこのキーを使用しようとすると、Javascriptアラートが表示されます。
そう :
Google APIコンソールには、API帯域幅の使用を別のドメイン/ユーザーが使用しないように保護できる設定があります。APIコンソールでリファラーを使用することにより、それを制限および保護できます。APIキーは、制限に一致する参照元がないリクエストを拒否します。
これは、Googleが2つのドメインを操作する場合にのみ使用できるAPIキーのGoogleからのスクリーンショットです。
この質問は数年前のものですが、非常に良い質問です。私が理解しているように、APIキーを公開すると、たとえそれらがドメインに一致していても、悪用につながる可能性があります。これについて詳しく説明しているセキュリティスタック交換に関する投稿があります。
不正行為の可能性を回避するために実行できる手順は、Googleによって次の場所に公開されています。
APIを安全に使用するためのベストプラクティスガイド: https //support.google.com/cloud/answer/6310037?hl=ja
私はそれをすべて搭載することをお勧めしますが、ブラブスターによって投稿された特定の例を扱うアプローチがあり、それは環境変数にキーを格納することです。この方法で行う必要があるのは、プロジェクト内に格納されているサーバー側変数をキーで置き換えることだけです。ただし、キーを格納するファイルを公開リポジトリにコミットしないでください。