我有一个受HTTP引用者限制的Google Maps API密钥。当我试图在一个iframe中加载一个嵌入地图时,这个限制就起作用了。
然而,当我在本地尝试时,限制没有效果(尽管加载file://local/path/to/test.htm),并且iframe加载它的内容而没有任何警告或错误消息。
我担心的是,该密钥是否会被攻击者滥用,以消耗信用并增加与我的账户相关的账单。
原因如下:
如果嵌入地图使用基本的嵌入请求,Google将不会检查限制,因为该API的使用是免费的。
https://www.google.com/maps/embed/v1/place?q=Seattle&key=KEY
但如果使用高级地图模式,则会受到限制。
https://www.google.com/maps/embed/v1/search?q=record+stores+in+Seattle&key=KEY