¿Existe un beneficio de seguridad para alojar la API en un dominio diferente al
¿El panel de control o el sitio web de marketing?
En una palabra, resiliencia .
Un beneficio es que cualquier bloqueo de seguridad que se establezca debido al contenido en el panel de control o el sitio web de marketing no afectará a la API, si la API se encuentra en un dominio completamente diferente.
(Si "marketing" significa Wordpress o Drupal, por ejemplo, ¡tales bloqueos pueden ser una amenaza muy real!)
He tenido experiencia directa con los bloques activados por la Google Blacklist , y pueden afectar la nombre de dominio y subdominios de los mismos. Si example.com termina con malware, entonces api.example.com (y api.api.example.com) también se bloquearán.
Al mudarse a api.exampleapi.com separa la API de forma limpia para que no se vea afectada si example.com está en la lista negra.
¿Por qué un subdominio no es suficiente?
Nuevamente, al menos con Google, los bloques también pueden extenderse a subdominios. Además, los filtros basados en DNS como los comodines OpenDNS también bloquearán todos los subdominios.