URLベースのAPIキーの制限:検証はどのように機能しますか?
https://stackoverflow.com/questions/1023971
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
GoogleがGoogleマップサービスを保護するために使用するURLベースのAPIキー制限など、URLベースのAPIキー制限がどのように機能するかを知りたいです。
この記事から理解したことから" Ajaxへのアクセスを制限するサービス、"関係する2つの部分があります。1つ目は、一方向ハッシュ関数を使用して、サービスが特定のドメインの特定のキーを作成する場所です。 2つ目は、サービスがRefererヘッダーに基づいてキーを検証する場所です。
この記事は非常に説明的ですが、検証方法の安全性を理解しようとするとまだ問題があります。つまり、キーがリファラーに対してのみチェックされる場合、これは非常に簡単に偽造できないのですか?私は単純な「127.0.0.1 www.mydomain.com」と考えています。 hostsファイルで検証をtoすのに十分であり、リファラーはwww.mydomain.comであると考えます。
いくつかのことを誤解している可能性があり、いくつかの説明をいただければ幸いです。
解決
"制限事項"あなたが引用した記事のセクションでは、リファラーのなりすましの可能性について具体的に言及しています。
ホストファイルの変更は、リファラーを偽造するのに十分かもしれませんが、自分のコンピューターからサイトにアクセスしている場合にのみ 。つまり、ローカルでテストする場合にのみライセンスを悪用できます。それはあまり面白くない虐待です。
アプリを公開するには、ローカルで実行される実行可能ファイルからAPIを使用している場合を除き、全員のブラウザでリファラーを偽装する必要があります。すべてのヘッダーのフルコントロール。
