由于 App ID + App Key可用于web端以及移动端，目前web端使用时可以应用设置里设置Web 安全域名白名单，但无法防止其他人开发android、ios应用来攻击或窃取应用数据（考虑小白开发者没有设置恰当的 ACL 的情况）。
其实对于web端应用，如果设置了Web 安全域名白名单，那么应该只需要在该白名单中的应用使用了正确的App ID就可以认为是合法的调用了，因此建议针对用户设置了白名单的web应用，可仅使用App ID进行初始化。