Google usa la clave de la API para identificar quién envía esas solicitudes. Google impondrá una cuota. Como se identificó correctamente, si Google recibe demasiadas solicitudes con esa clave de API, incluirán en la lista negra la clave de API. Si eso sucede, su propio sitio / aplicación dejará de funcionar.
Por lo tanto, existen riesgos al dejar la clave de API en el claro de su página. Estos riesgos son un tanto modestos: alguien que obtiene la clave API no obtiene la raíz de sus sistemas, pero podría terminar haciendo que su aplicación deje de funcionar.
Si este riesgo le molesta, entonces no ponga la clave API en su página web. En su lugar, haga que el cliente emita una solicitud AJAX a su servidor, y luego haga que el servidor emita la solicitud a Google y devuelva los resultados al cliente. De esta manera, la clave de la API de Google nunca se expone al cliente.
La verificación del encabezado del Referer evita que alguien más copie su clave de API y la coloque en su propia página web y use Javascript para consultar a Google. Sin embargo, no les impide copiar su clave de API y utilizarla en las solicitudes que inician desde sus propias máquinas. (Si usan curl o alguna otra biblioteca similar en su propia máquina, pueden falsificar el encabezado del Referer y hacer que diga lo que quieran. Por lo tanto, la verificación del Referer no ayuda a evitar este escenario. Solo evita que otros incrusten la clave API en su página web y usándolo en Javascript que se ejecuta en el navegador de las personas que visitan su página web.)