【发布时间】:2015-02-17 18:14:27
【问题描述】:
所以我正在构建一个简单的 AJAX 应用程序,该应用程序从我的播放列表中的 YouTube 视频中获取缩略图,该播放列表在 JavaScript 中使用类似这样的请求:
GET https://www.googleapis.com/youtube/v3/playlistItems?...&key={YOUR_API_KEY}
当然,任何可以查看源代码的人都可以看到我的 API 密钥。 YouTube 表示 API 密钥不用于授权,因此理论上没有理由不将其包含在客户端应用程序中。但是 YT API 指南还说您可以使用 API 密钥来执行诸如将视频添加到播放列表之类的操作。
当然,我将 REFERRER 设置为我自己的 URL。但似乎在 xmlhttp 请求上伪造引荐来源网址并不难。通过公开我的 API,我是否会让自己容易受到有人将 pron 放在我的播放列表或其他东西的攻击?
【问题讨论】:
标签: javascript api youtube