Se qualcuno ha la chiave e un referente valido, possono usare la chiave API da qualsiasi client purché l'intestazione del referer set, corretta?
Quindi vale la pena usare questa restrizione?
Tutte le misure di sicurezza sono compromessi. Il costo del controllo vale più o meno del valore di ciò che viene protetto, e quanto più lavoro obbliga l'attaccante a fare.
Un lucchetto sul tuo bagaglio potrebbe impedire a un ladro occasionale di aprire la borsa per afferrare qualcosa, ma non impedirà a qualcuno di rubare la tua borsa. Ma il costo è basso, quindi è un controllo di sicurezza ancora utile.
Quindi, solo perché un
Aumenta il costo per l'aggressore.
Allo stesso modo, l'applicazione standard, non modificata e ben educata dirà la verità sull'ultima pagina da cui proviene e quindi verrà negato l'accesso all'API. Forse qualcuno che cerca di abusare del tuo servizio non sa che stai controllando le intestazioni dei referrer sul server e si arrenderà.
Quindi, in risposta alla domanda dell'OP, "vale la pena" è un giudizio di valore che solo tu puoi fare. Quanto impegno ci vuole per controllare il referrer? Probabilmente non molto. Quanto è prezioso proteggere l'uso della tua chiave API? Probabilmente di più Quel tipo di sforzo da parte tua vale il speedbump che piazzerai nella mano dell'attaccante?
Quest'ultima è la tua chiamata.
What is the point of restricting a google API key by HTTP referer?
Un'applicazione web non può facilmente forgiare il suo referrer durante l'emissione di richieste. Pertanto, la limitazione dei referrer consentiti a un elenco specifico impedisce ad altri siti Web di utilizzare la chiave API per i propri servizi Web e quindi di sfruttare la quota dell'API. È una funzione utile che dovresti sfruttare.
Tuttavia, un'applicazione che è in grado di impostare le proprie intestazioni di referrer ovviamente non sarà influenzata da questa restrizione. Serve solo a proteggere le applicazioni web.
Se stai consentendo a chiunque di utilizzare la chiave API client, fondamentalmente non c'è modo di prevenire l'abuso. Questo rende abbastanza fastidioso che potrebbe scoraggiare alcune persone. Non fa male abilitarlo, ma non dare per scontato che fermerà chiunque sia determinato. È un po 'come le misure anti-modding nei videogiochi online.
Opinione: ho visto molti luoghi, anche Google Cloud Platform, non essere abbastanza chiaro su cosa questa restrizione dei referrer HTTP garantisce: non molto.
Leggi altre domande sui tag google google-apps