企业网站调用百度地图API出现ak值泄露是漏洞吗？

admin

答：不算是漏洞，因为只要是网站调用第三方网址，必然会要求主从认证，那么在对话接口实现过程中就用到TOKEN，这个常见的方案。
弘帝建站系统提供了多家地图显示解决方案，其中包括百度地图的调用。
百度地图里没有用到token这一英文单词，而是采用ak，其实原理都是一样的，就是命名的个性化而己，可以理解为TOKEN。
我们截图了解百度API的调用结果，发现截图代码并不好理解，这里归纳一下，其目的就是定位公司的位置，然后用地图的方式显示给网站访问者，以便了解地图如何到达公司。

上图是调用百度api返回结果，其实是没有太大意义的，就算给人盗用，意义也不大，并不会造成丰嘉网站的破坏，因为js是客户端的脚本，无法执行服务器端的代码，服务器端也没有设计响应js的脚本，这保证了网站在理论上的安全。

如果该脚本如被人恶意利用的后果是什么？
只会带来地图的不可显示，对网站来说，没有安全危胁，企业网站管理员只需重新申请一个不同的免费api值，地图重会显示，原api值就自动失效了。
所以不存在什么后果，只是暂时性地图无法显示而已。

遇到恶意调用者怎么办？
百度AK就是网络身份验证的唯一序列号，既然公开，它就不是什么密钥，所以，这个AK并不是漏洞，不要被一些第三方安全检测公司的所谓评测结果误导为密钥而紧张。
该AK主要用于识别什么用户可以使用。一般来说，广大客户都懒于申请AK，觉得申请AK是一件麻烦事，技术活。所以我们大多数客户都默认使用我们开发商的API，其实是有调用次数限制的，比如每天5000次，目前有上百个网站在使用，可见其调用频次是足够使用的。
如果被人滥用，万一不能使用，客户也可以申请自己的api，那么他也享用相应的免费调用次数。

上面解释的是百度地图，弘帝提供的其它地图，也是一样的道理，这里不再一一阐述。如果您还有其它异议，请与我们联系修正。