placebo n. 安慰劑；安慰的話語或事物
讀音 pla-cebo, 不是 place-bo

如何確保 API 的安全性？

身份驗證與授權：

• 身份驗證：確保只有經過身份驗證的用戶可以訪問 API。例如，使用 OAuth 2.0 或 API 金鑰來驗證用戶身份。
• 授權：確保用戶只能執行他們被授權執行的操作。授權機制應基於用戶角色和權限。

使用 HTTPS 加密：

• 確保所有 API 通訊使用 HTTPS 進行加密，防止數據在傳輸過程中被攔截或篡改。

輸入驗證：

• 檢查和過濾所有進入 API 的數據，防止惡意數據（如 SQL 隱碼攻擊或跨站腳本）攻擊。
• 使用適當的數據驗證庫來防止常見的攻擊。

速率限制：

• 設置速率限制來防止暴力破解和 DDoS 攻擊。限制每個用戶或 IP 地址在特定時間內的請求數量。

日誌和監控：

• 記錄所有 API 請求和異常行為，並對這些數據進行監控，及早發現和應對潛在的安全威脅。

錯誤處理：

• 在處理錯誤時，不要在響應中洩露過多的細節（如堆棧跟蹤），以防止攻擊者利用這些資訊進行攻擊。

CORS（跨域資源共享）組態：

• 僅允許受信任的域名訪問 API，並且正確組態 CORS 以防止跨域請求帶來的安全風險。

什麼是 OWASP Top 10？

是一份清單，顯示當前最常見、且風險大的 Web 安全漏洞，並提供如何實踐相關防護措施
例如 Broken Access Control 、 Cryptographic Failures 、Injection...等
詳細說明建議看參考資料

參考資料：
https://www.owasptopten.org/
https://www.cloudflare.com/zh-tw/learning/security/threats/owasp-top-10/
https://owasp.org/Top10/zh_TW/