Я получил ключ API Карт Google для своего домена.
Приведенные примеры, когда я получил свой ключ, показывают ключ, встроенный в параметры запроса, например:
<script src="http://maps.google.com/maps?file=api&v=2&sensor=true_or_false&key=my-key" type="text/javascript"></script>
Я ценю, что поле referrer в запросах должно соответствовать моему домену, безопасно ли сделать мой ключ видимым в тегах script и тому подобное? Или есть какие-то другие шаги, которые я должен предпринять?
Учитывая, что ключ должен быть включен в теги <script> ваших HTML-страниц, чтобы загрузить JS файлы/данные с серверов google, вы ничего не можете сделать:
Тем не менее, это не имеет большого значения: если кто-то пытается использовать этот ключ в другом домене, чем ваш, он получит предупреждение Javascript, что не очень приятно для этих пользователей.
Итак:
На консоли Google API есть настройка, которая может защитить ваш API-интерфейс от использования другим доменом/пользователем. Вы можете ограничить и защитить это с помощью реферера на консоли API. API Key будет отклонять запросы без ссылок, которые соответствуют вашим ограничениям.
Вот скриншот из Google для ключа API, который может использоваться только Google двумя его доменами. 
Хотя этот вопрос несколько лет, он очень хороший. Насколько я понимаю, выставляя ключи API, даже если они совпадают с доменом, все равно могут привести к злоупотреблениям. Здесь размещена публикация в Security Stack Exchange, которая более подробно описывает это.
Здесь могут быть опубликованы шаги, которые вы можете предпринять, чтобы избежать потенциальных злоупотреблений:
Руководство по лучшей практике для безопасного использования API: https://support.google.com/cloud/answer/6310037?hl=en
Хотя я бы рекомендовал взять все это на борту, есть подход, который будет касаться конкретного примера, который был опубликован Brabster, и для хранения ключа в переменной окружения. Таким образом, все, что вам нужно сделать, это заменить ключ для серверной переменной, которая хранится в вашем проекте. Однако не забудьте сохранить файл, который хранит ключ в общедоступном репозитории.
Я не понимаю, почему вы будете беспокоиться. Не является ли ключ действительным только в вашем домене? IIRC, единственная информация, закодированная в нем, - это ваше доменное имя, за исключением любой информации, которую может добавить Google, например, времени ее создания.
Вы должны использовать серверную часть/серверную часть для защиты и обработки ключа. В моем случае я использовал серверную часть Django, которая может обслуживать ajax-вызов, чтобы получить ключ из серверного скрипта /db, а затем передать его в Google API.
Вы обязательно должны защитить эти ключи.
Хотя содержимое сценариев доступно для чтения всем, кто захочет, доступ ко многим картографическим сервисам Google платный и доступен только тому, кто использует этот токен.
Если вы не защищаете его, вы полностью полагаетесь на правила безопасности Google, чтобы защитить себя и свою конфигурацию своей учетной записи. Если по какой-либо причине это не удается, вы можете обратиться к ним за помощью, но если вы не отслеживаете или не управляете должным образом своей учетной записью, вы все равно можете нести ответственность за непредвиденные расходы за неправильную настройку и защиту ключей API.
Google рекомендует следующее для ключей API карт, и это относится ко ВСЕМ ключам API: https://developers.google.com/maps/api-key-best-practices.
В итоге:
Используйте прокси-сервис, чтобы скрыть их.
Не помещайте их в свой код или в систему контроля версий.
Создайте безопасный (зашифрованный) сервис хранилища параметров для ваших ключей.
Если безопасность важна для вас, рассмотрите стратегию ротации ключей.
Там многое другое в зависимости от вашей реализации и размера вашей организации и насколько важна безопасность для вас.
Вы можете сделать это с помощью PHP
1. Сохраните ключ в файле с именем key.ini как googlemaps_api_key=xxxxxxxxxxxxxxxxx
2. Сохраните файл в папке some_folder вне корневой папки вашего сайта, например, в home/my_website/some_folder/key.ini, где корнем моего сайта будет home/my_website/public_html/
3. Вызвать последний скрипт карт Google на странице .php (не на странице .html) и добавить <?php $config['googlemaps_api_key']?>
вместо фактического ключа API, как в <script src="https://maps.googleapis.com/maps/api/js?key=<?php $config['googlemaps_api_key']?>&callback=initMap" async defer></script>
Теперь веб-страница не будет отображать фактический ключ для общественности. Результат будет
<script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async="" defer=""></script>
Вы также можете CHMOD some_folder и key.ini для дальнейшего ограничения доступа.
Обратитесь сюда для безопасного хранения любых учетных данных
https://security.stackexchange.com/info/152590/how-to-securely-connect-to-a-database-with-php