iT邦幫忙

2024 iThome 鐵人賽

DAY 26
0
JavaScript

Web仔常見的面試問題 系列 第 26

Day-26 安全相關問題

  • 分享至 

  • xImage
  •  

placebo n. 安慰劑;安慰的話語或事物
讀音 pla-cebo, 不是 place-bo

如何確保 API 的安全性?

身份驗證與授權:

  • 身份驗證:確保只有經過身份驗證的用戶可以訪問 API。例如,使用 OAuth 2.0 或 API 金鑰來驗證用戶身份。
  • 授權:確保用戶只能執行他們被授權執行的操作。授權機制應基於用戶角色和權限。

使用 HTTPS 加密:

  • 確保所有 API 通訊使用 HTTPS 進行加密,防止數據在傳輸過程中被攔截或篡改。

輸入驗證:

  • 檢查和過濾所有進入 API 的數據,防止惡意數據(如 SQL 隱碼攻擊或跨站腳本)攻擊。
  • 使用適當的數據驗證庫來防止常見的攻擊。

速率限制:

  • 設置速率限制來防止暴力破解和 DDoS 攻擊。限制每個用戶或 IP 地址在特定時間內的請求數量。

日誌和監控:

  • 記錄所有 API 請求和異常行為,並對這些數據進行監控,及早發現和應對潛在的安全威脅。

錯誤處理:

  • 在處理錯誤時,不要在響應中洩露過多的細節(如堆棧跟蹤),以防止攻擊者利用這些資訊進行攻擊。

CORS(跨域資源共享)組態:

  • 僅允許受信任的域名訪問 API,並且正確組態 CORS 以防止跨域請求帶來的安全風險。

什麼是 OWASP Top 10?

是一份清單,顯示當前最常見、且風險大的 Web 安全漏洞,並提供如何實踐相關防護措施
例如 Broken Access Control 、 Cryptographic Failures 、Injection...等
詳細說明建議看參考資料

參考資料:
https://www.owasptopten.org/
https://www.cloudflare.com/zh-tw/learning/security/threats/owasp-top-10/
https://owasp.org/Top10/zh_TW/


上一篇
Day-25 安全相關問題
下一篇
Day-27 開發工具和最佳實踐
系列文
Web仔常見的面試問題 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言