Q&A
どうも有難う御座います。おかげさまで安心できました。
Googleのような有名どころのAPIでも、リファラ―送出が必須(リファラ―でチェック)となっているのですね。キーについて無理に隠匿しない方向で、アプリケーションを作成してみます。
お世話になっております。
いくつかのWEBAPIを利用する場合、「アプリケーションID」など、利用者・利用システムの識別情報をサーバへ送る必要がありますが、皆さまこれをどのように隠しておられるでしょうか?決め手がみつからずに難渋しています。
こちらで紹介されている方のように、ページをかませる方法もありますが、かませたページを他者からハック・利用される懸念、またブラウザがリファラーを必ず送ってくるとも限らないと思いますし...
http://freefielder.jp/blog/2011/11/yahoo-japan-web-api-id.html
隠す必要がない、とのご意見もあれば、ぜひお聞かせいただければと思います。
回答2件
0
ベストアンサー
通常、フロントエンド(javascript)で使われるAPIで、
アプリケーションIDやAPIキーが見えてしまうのは仕方がないことだと思いますよ。
使っているAPIによって、様々だとは思いますが、悪用されないためのセキュリティは、
それ以外の方法で担保するのが一般的だと思います。
自分はGoogleのAPIぐらいしか使っていないですが、
Google APIだと、登録されたリファラーからしかリクエストを受け付けないなどの制限があります。
使ったことないですが、URL 署名シークレットをつけることもできるようです。
まぁ、APIによって取り組みは色々なので、セキュリティの観点からどのAPIを使うかは大事ですね
もし、セキュリティの心配なAPIを使わないといけない場合は、サーバサイドからAPIは呼ぶような自前のAPIでラップすれば隠蔽できると思います。ただし、jsライブラリなどと連携するAPIは無理ですが...
投稿2016/09/19 23:47
編集2016/09/19 23:49
総合スコア6586
0
JavaScriptや画像生成など、フロントエンドからアクセスすることが前提のAPIは、そもそも「隠す必要がない」と考えています。
たとえば、GoogleのAPIキーはリファラーのチェックが入っているので、第三者が同じキーで別なサイトに設置しても、リファラーを送らない環境でしか動かず、ほぼ実用できません。
投稿2016/09/19 23:48
総合スコア146493
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/09/20 00:16