Я управляю веб-сайтом, который использует API автозаполнения Google Place JavaScript, чтобы позволить клиенту ввести свой адрес, а затем использовать широту / долготу для расчета стоимости доставки. Это работало нормально, но я беспокоюсь о безопасности этого. Поскольку запросы автозаполнения выполняются полностью на стороне клиента, широта / долгота заполняются в форме веб-сайта перед отправкой на сервер. Затем сервер рассчитывает стоимость доставки. Однако я не вижу, что мешает опытному пользователю (или хакеру) изменить ввод широты / долготы в DOM перед отправкой формы, тем самым «обманывая» мой сервер для расчета более низкой платы за доставку.
My Идея заключалась в том, чтобы использовать API автозаполнения, чтобы получить только place_id, а затем позволить серверу выполнить вызов API Адресов, чтобы получить дополнительную информацию об адресе и широту / долготу. Проблема состоит в том, что этот подход увеличивает стоимость, даже если используется один и тот же токен сеанса для вызова автозаполнения клиента и вызова сервера Places. Я предполагаю, что Google не позволяет повторно использовать сессионный токен с двух разных IP-адресов, потому что этот подход фактически выставляет мне счет дважды за каждую транзакцию. Поэтому мне пришлось довольно быстро отказаться от этого подхода.
Затем я попытался переместить все автозаполнения и разместить вызовы на стороне сервера, но это создает большую нагрузку на мой сервер, и он просто не может продолжайте в том же духе, что и серверы Google.
Каков рекомендуемый способ защиты транзакций такого типа?