我有一个谷歌地图的API密钥被HTTP引用者限制。当我尝试在一个真实域名的托管网站的iframe中加载一个嵌入的地图时,这个限制是有效的。
然而,当我在本地尝试时,该限制没有任何效果(通过文件:/localpathtotest.htm加载),并且iframe加载它的内容,没有任何警告或错误信息。
我担心的是,该密钥是否会被攻击者滥用,以消耗信用点并增加与我的帐户相关的计费。
这就是为什么。
如果嵌入地图使用的是 基本嵌入请求,谷歌不会检查限制,因为该API的使用是免费的。
https://www.google.com/maps/embed/v1/place?q=Seattle&key=KEY
但如果 高级地图模式 使用,那么就会受到限制。
https://www.google.com/maps/embed/v1/search?q=record+stores+in+Seattle&key=KEY