placebo n. 安慰劑;安慰的話語或事物
讀音 pla-cebo, 不是 place-bo
如何確保 API 的安全性?
身份驗證與授權:
- 身份驗證:確保只有經過身份驗證的用戶可以訪問 API。例如,使用 OAuth 2.0 或 API 金鑰來驗證用戶身份。
- 授權:確保用戶只能執行他們被授權執行的操作。授權機制應基於用戶角色和權限。
使用 HTTPS 加密:
- 確保所有 API 通訊使用 HTTPS 進行加密,防止數據在傳輸過程中被攔截或篡改。
輸入驗證:
- 檢查和過濾所有進入 API 的數據,防止惡意數據(如 SQL 隱碼攻擊或跨站腳本)攻擊。
- 使用適當的數據驗證庫來防止常見的攻擊。
速率限制:
- 設置速率限制來防止暴力破解和 DDoS 攻擊。限制每個用戶或 IP 地址在特定時間內的請求數量。
日誌和監控:
- 記錄所有 API 請求和異常行為,並對這些數據進行監控,及早發現和應對潛在的安全威脅。
錯誤處理:
- 在處理錯誤時,不要在響應中洩露過多的細節(如堆棧跟蹤),以防止攻擊者利用這些資訊進行攻擊。
CORS(跨域資源共享)組態:
- 僅允許受信任的域名訪問 API,並且正確組態 CORS 以防止跨域請求帶來的安全風險。
什麼是 OWASP Top 10?
是一份清單,顯示當前最常見、且風險大的 Web 安全漏洞,並提供如何實踐相關防護措施
例如 Broken Access Control 、 Cryptographic Failures 、Injection...等
詳細說明建議看參考資料
參考資料:
https://www.owasptopten.org/
https://www.cloudflare.com/zh-tw/learning/security/threats/owasp-top-10/
https://owasp.org/Top10/zh_TW/