私は、GoogleがGoogle Mapsサービスを保護するために使用しているような、URLベースのAPIキーの制限がどのように機能するかを知りたいと考えています。URLベースのAPIキーの制限:検証はどのように機能しますか?
私がこの記事「Restricting Access to Ajax Services」から理解しているところには、2つの部分があります。まず、一方向ハッシュ関数を使用して、サービスが特定のドメインの特定のキーを作成します。 2番目のサービスはRefererヘッダーに基づいてキーを検証します。
記事は非常に説明していますが、検証方法がどれほど安全であるかを理解するためにはまだ問題があります。つまり、キーがリファラーに対してのみチェックされていれば、これは簡単ではないのですか?私はホストファイルのシンプルな "127.0.0.1 www.mydomain.com"がバリデーションを騙して、リファラーがwww.mydomain.comだと思うと思っています。
私はいくつかのことを誤解しているかもしれませんが、いくつかの説明を理解できます。
あなたのリンクが悪いようです。あなたがそれを修正する機会を得たら、私は喜んで見て回ります! –