Итак, у нас есть открытый API для почтовых индексов, и мы хотели бы, чтобы его могли использовать только определенные веб-сайты. В настоящее время мы используем CORS в сочетании с ключами, чтобы запретить использование неавторизованных веб-сайтов, но в некоторых случаях это ничего не даст. Поскольку API используется с Javascript, ключ также находится в Javascript.
Как бы это сделать? Кажется, что независимо от того, как я это сделаю, люди смогут использовать его с других сайтов.