具体的には、twitter公式短縮URLサービス、bitlyさんのAPIなんだけど。 このAPIを使うためには、bitlyにユーザー登録して、APIキーというのを取得します。で、そのユーザー名とAPIキーがあれば、 http://api.bit.ly/shorten?version=2.0.1&login=[ユーザー名]&apiKey=[API Key]&longUrl=[目的のURL] というようなURLにアクセスすることで短縮URLを生成することが出来ます。 問題なのは、このAPIキーをJavaScriptでも使うことが想定されていることで。 JavaScriptで使うということは、ブラウザでソースを見たらユーザー名もAPIキーも丸わかりなのに、堂々と使っている方が結構おられます。 悪用シナリオ1 被害者Aさんが、JavaScriptでbitlyAPIを使ったWEBページを