Is there a security benefit to host the API in a different domain than
the dashboard or marketing website?
In una parola, resilienza .
Un vantaggio è che qualsiasi blocco di sicurezza che viene implementato a causa del contenuto della dashboard o del sito web di marketing non avrà alcun impatto sull'API, se l'API si trova su un dominio completamente diverso.
(Se "marketing" significa Wordpress o Drupal, ad esempio, tali blocchi possono essere una minaccia molto reale!)
Ho avuto esperienza diretta con blocchi attivati dalla Blacklist di Google , e possono influire sul domain name e loro sottodomini. Se example.com finisce con malware, allora anche api.example.com (e api.api.example.com) verranno bloccati.
Il passaggio a api.exampleapi.com separa in modo pulito l'API in modo che non subisca alcun impatto se example.com è nella lista nera.
Why does a subdomain is not enough?
Ancora una volta, con Google almeno, i blocchi possono estendersi anche nei sottodomini. Inoltre, i filtri basati su DNS come i caratteri jolly OpenDNS bloccheranno anche tutti i sottodomini.