4

Google が Google マップ サービスを保護するために使用するものなど、URL ベースの API キー制限がどのように機能するかを知りたいです。

この記事「 Ajax サービスへのアクセスを制限する」から私が理解したところによると、関係する部分は 2 つあります。次に、Referer ヘッダーに基づいてサービスがキーを検証します。

記事は非常に説明的ですが、検証方法がどれほど安全かを理解するのにまだ問題があります. つまり、キーがリファラーに対してのみチェックされる場合、これは非常に簡単に偽造されませんか? 私は、単純な "127.0.0.1 www.mydomain.com" をホスト ファイルに追加するだけで検証をだますことができると考えており、リファラーは www.mydomain.com であると考えています。

私はいくつかのことを誤解している可能性があり、いくつかの説明をいただければ幸いです。

4

1 に答える 1

1

あなたが引用した記事の「制限」セクションでは、リファラーになりすます可能性について具体的に言及しています。

ホスト ファイルを変更するだけでリファラーを偽造するのに十分な場合がありますが、それは自分のコンピューターからサイトにアクセスしている場合のみです。つまり、ライセンスを悪用できるのは、ローカルでテストする場合のみです。それはあまり興味深い虐待ではありません。

アプリを公開するには、ローカルで実行される実行可能ファイルから API を使用している場合を除き、すべてのブラウザーでリファラーをスプーフィングする必要があります。その場合、おそらくすべてのヘッダーを完全に制御できます。

于 2009-06-21T15:24:57.297 に答える