我是否应该报告这个Google密钥泄露问题？

Question

我被要求在一家公司的网站上表演一首“五旬斋”。我分析了他们使用的javascript文件，并找到了指向以下内容的链接：

https://www.googleapis.com/customsearch/v1/siterestrict

我还在javascript文件中找到了他们的Google key值。我能够访问他们的个人CSE谷歌API。这是我应该向公司报告的事情吗？我不确定这算不算一个有效的问题。

Answer 1

这里有一个潜在的问题，但这是不可能的。将他们的Google键值包含在JavaScript 是怎么做到的。中是的，您可以绕过他们的搜索功能，直接查询Google，但最终是什么目的呢？API将有自己的验证，这将限制您所能做的事情。你能获得比你在网站上已经获得的更多的信息吗？如果是这样，那么它就是一个“信息披露”漏洞，如果不是，那么它真的是一个漏洞吗？