Мне интересно узнать, как работает ограничение API-ключа на основе URL, например, используемое Google для защиты своей службы Google Maps.
Насколько я понял из этой статьи "Ограничение доступа к службам Ajax», здесь задействованы две части: во-первых, служба создает специальный ключ для данного домена, используя одностороннюю хеш-функцию; и во-вторых, когда служба проверяет ключ на основе заголовка Referer.
Хотя статья довольно пояснительна, у меня все еще есть проблема, пытаясь понять, насколько безопасен метод проверки. Я имею в виду, если ключ проверяется только по рефереру, не так ли легко его подделать? Я думаю, что простого «127.0.0.1 www.mydomain.com» в файле hosts будет достаточно, чтобы обмануть проверку и подумать, что реферером является www.mydomain.com .
Возможно, я неправильно понял некоторые вещи, и некоторые разъяснения будут оценены.