在WordPress的javascript中保留私有信息(如API key)安全吗？

Question

我在WordPress编辑器中添加了一个媒体按钮，就像代码一样

add_action('media_buttons', 'add_my_media_button');
function add_my_media_button() {
    echo '
            <input id="up_to_chevereto" type="file" accept="image/*" multiple="multiple"/>
            <label for="up_to_chevereto" id="up_img_label"><i class="fa fa-picture-o" aria-hidden="true"></i> upload images to Chevereto</label>
          ';
?>
<style type="text/css">...</style>
<script type="text/javascript">
$('#up_to_chevereto').change(function() {
...
});
</script>
<?php
}

我把我的api密钥放在javascript区域了，我想知道这是否安全。

Answer 1

在javascript代码中保留API密钥总是不安全的。如果不需要，请参阅Chevereto上的API密钥设置，以限制每个域的使用。如果这样选择是不可能的，那么您应该避免在javascript中呈现您的API密钥。