问不受限制的Firebase键可以用于其他付费的Google

EN

[消]火源文档建议，防火墙自动创建的键不应受到限制，并且与其他sercet键不同的是，可以愉快地出现在网站的源代码中：

与通常使用API密钥不同的是，Firebase服务的API密钥不用于控制对后端资源的访问；这只能通过Firebase安全规则来实现。通常，您需要严格地保护API密钥(例如，通过使用保险库服务或将密钥设置为环境变量)；但是，Firebase服务的API键可以包含在代码或签入配置文件中。默认情况下，由Firebase自动创建的API密钥没有任何限制.使用Firebase安全规则保护数据库和云存储数据，而不是限制和/或模糊API密钥。

然而，当我们在源代码中包含防火墙密钥时，恶意攻击者可能会使用它调用付费的谷歌服务，例如花费5/5000美元查询的自定义搜索API，从而耗尽了一个可怜的毫无戒心的受害者的谷歌控制台平衡。

另外，向Firebase键添加限制似乎不起作用--或者阻止密钥工作，或者触发创建新的自动生成密钥(请参阅这里、这里、这里)。

那么，我们应该以某种方式限制api- key，将密钥隐藏在网站的源或其他地方吗？