Установите ограничение ключа API Google для реферера - избегайте злоупотреблений локальным хостом - PullRequest
0 голосов
/ 04 июня 2018

У меня есть аккаунт Google API, и я хотел бы ограничить его (ab) использование, используя предложенный Google вариант ограничения доступа к определенным рефералам.

Сегодня я установил ограничение на

localhost
*.mywebsite.com/*

И все работает гладко.

Но мне интересно: в любом случае есть секретный ключ, и никто без этого секретного ключа не может получить доступ к нашей квоте API данных Google.Но, как пишет Google на странице «Безопасность», «ограничения предотвращают несанкционированное использование и кражу квот».Поэтому я предполагаю, что это дополнительный уровень безопасности: если кто-то захочет украсть / найти наш секретный ключ, он все равно будет заблокирован вторым уровнем безопасности, поскольку только авторизованные сайты могут получить доступ к нашей квоте.

Но тогдамой вопрос: никто не может отправлять запросы с .mywebsite.com / , поскольку мы владеем этим доменом, но как насчет localhost?Я имею в виду, что нам нужно (много!) Делать наши запросы при локальной разработке, но я думаю, что любой, кто украл / нашел бы наш секретный ключ, мог бы также добавить 'localhost' и делать запросы со своего сервера localhost, таким образом, обнуляя нашу квоту.так что весь смысл ссылки на URL, чтобы избежать злоупотреблений для людей, имеющих ключ, "побежден", если вы добавите localhost ...

Я что-то здесь упускаю?мы должны удалить localhost как ограничение URL-ссылки как плохую практику безопасности?

...