我可能遗漏了什么,但由于Branch.IO的Web SDK必须在浏览器中运行,它将我的BRANCH_KEY暴露给用户。那么是什么阻止了用户打开源码,找到密钥,然后初始化他们自己的分支,并通过发送短信来滥用我的账户呢?通常情况下,如果我担心暴露api密钥,我会直接在服务器端处理api请求--但Branch.IO似乎没有一个NodeServer端SDK来使用。
编辑:这比恶意用户向你的预制短信发送垃圾邮件更糟糕。我已经成功地证明了一个恶意用户可以通过使用公共密钥来改变你的文本消息中的重定向URL链接。