【问题标题】:Can someone do a CRSF attack on my youtube channel with my api key?有人可以使用我的 api 密钥对我的 youtube 频道进行 CRSF 攻击吗?
【发布时间】:2015-02-17 18:14:27
【问题描述】:

所以我正在构建一个简单的 AJAX 应用程序,该应用程序从我的播放列表中的 YouTube 视频中获取缩略图,该播放列表在 JavaScript 中使用类似这样的请求:

GET https://www.googleapis.com/youtube/v3/playlistItems?...&key={YOUR_API_KEY}

当然,任何可以查看源代码的人都可以看到我的 API 密钥。 YouTube 表示 API 密钥不用于授权,因此理论上没有理由不将其包含在客户端应用程序中。但是 YT API 指南还说您可以使用 API 密钥来执行诸如将视频添加到播放列表之类的操作。

当然,我将 REFERRER 设置为我自己的 URL。但似乎在 xmlhttp 请求上伪造引荐来源网址并不难。通过公开我的 API,我是否会让自己容易受到有人将 pron 放在我的播放列表或其他东西的攻击?

【问题讨论】:

    标签: javascript api youtube


    【解决方案1】:

    好的,通过一些研究,我可以看出这并不是真正的危险。要执行诸如将视频添加到播放列表之类的操作,您需要使用 OAUTH2 客户端 ID 登录。只要没有人知道这个 ID(或者更好的是,如果我不需要它,我什至不创建一个),那么没有人可以做诸如添加和删除视频之类的事情。

    【讨论】:

      猜你喜欢
      • 2021-02-04
      • 2010-10-25
      • 2021-11-20
      • 2014-03-20
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-10-18
      • 2022-10-13
      相关资源
      最近更新 更多