Tôi đã thấy các dịch vụ như Google yêu cầu bạn thêm khóa API khi thực hiện cuộc gọi javascript, như thế này.Điểm của khóa API javascript khi ai có thể xem mã js
https://www.google.com/jsapi?key=thekeygoeshere
Điểm của khóa api javascript này khi mã có thể được xem và khóa có thể được đọc. Không ai có thể chỉ sao chép khóa này và sử dụng nó cho trang web của riêng họ? Hoặc có cái gì khác mà họ làm trong nền để đảm bảo rằng chìa khóa thuộc về trang web thực hiện cuộc gọi?
Điều đó sẽ khá rủi ro, vì Người giới thiệu-Tiêu đề có thể trống theo tiêu chuẩn (và dành cho nhiều người dùng vì họ không muốn trang web biết họ ở đâu trước đây). – anroesti
Cập nhật câu trả lời giải thích lý do tại sao nó không thực sự nguy hiểm. – Quentin
Đối số này luôn xuất hiện nhưng nếu thậm chí 10% người dùng đã bật (và tôi chắc chắn nó lớn hơn nhiều), bạn sẽ nhận thấy nếu trang web lưu lượng truy cập cao đang sử dụng khóa của bạn. – ZoFreX