Google utilizza la chiave API per identificare chi invia tali richieste. Google imporrà una quota. Come hai correttamente identificato, se Google riceve troppe richieste utilizzando tale chiave API, inserirà nella lista nera la chiave API. Se ciò accade, il tuo sito / app smetterà di funzionare.
Pertanto, ci sono dei rischi nel lasciare la chiave API in chiaro sulla tua pagina. Questi rischi sono in qualche modo modesti: qualcuno che ottiene la chiave API non diventa root sui tuoi sistemi, ma potrebbe finire per far smettere di funzionare la tua app.
Se questo rischio ti infastidisce, non mettere la chiave API sulla tua pagina web. Invece, chiedi al client di inviare una richiesta AJAX al tuo server, quindi richiedi al server di inviare la richiesta a Google e restituire i risultati al client. In questo modo, la chiave dell'API di Google non viene mai esposta al client.
Il controllo dell'intestazione Referer impedisce a qualcun altro di copiare la tua chiave API e di inserirla nella propria pagina Web e di utilizzare Javascript per eseguire una query su Google. Tuttavia, non impedisce loro di copiare la chiave API e di utilizzarla nelle richieste avviate dalle proprie macchine. (Se usano curl o qualche altra libreria simile sul proprio computer, possono falsificare l'intestazione del Referer e fargli dire quello che vogliono.Pertanto, il controllo Referer non aiuta a prevenire questo scenario, ma impedisce ad altri di incorporare la chiave API nella loro pagina web e utilizzandolo in Javascript che viene eseguito nel browser di persone che visitano la loro pagina web.)