正文

現在很多網站都是前後端分離，過程當中使用了 API 來進行溝通，
因此 API 的安全慢慢變世人與駭客重視，
還記得我們之前提到的同源政策，
有些開發者為了開發方便，會忽列同源政策的重要性，
進而讓自己的 API 可以跨網域的去存取各種資源。

再來我遇到一些 不安全的 API 實例，
常見的使用 http 進行傳輸，
可以使用我組員的文章快速讓自己的網頁變成HTTPS
呼籲：請盡速讓自己的服務都使用 https 感謝！

如果你的　API 是傳輸使用的敏感資料，
可以使用 HTTP Basic Auth 進行加密，
基本上他會在你的請求中的擋頭放上 Authorization: Basic 識別使用者的字串。

你也可以限制請求中的 user-agent，
我們可以看看關於 googlebot 的 user-agent 長這樣：
Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1;
為了限制爬蟲我們可以限制請求中的 user-agent。

你的 API 應該要限制每個人請求的頻率，
正常的請求數以及不正常的請求數，
你需要有 log 去紀錄這些異常現象，
才可以去設定黑名單或是白名單來限制。