保护 REST API

【问题标题】:Securing REST API保护 REST API
【发布时间】:2017-04-15 00:05:15
【问题描述】:

我有一个网站,它使用网络服务器上公开的其余 API。 这是内容网站,免费向公众开放。因此,任何人都可以通过导航来阅读内容(在后台调用不同的 REST API)。同时,我担心有人会从浏览器中的开发人员工具中找出我的端点并调用这些(数百万次)来关闭我的服务器。我需要保护我的 REST api,但浏览器除外。我该怎么办?

【问题讨论】:

  • 如果你没有启用任何CORS 机制,你应该很好,但是......
  • 在 REST 服务前使用 HTTP 代理。这可以用来缓存响应。
  • 这不是灵丹妙药,但是,使用owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 并测试您的网站是否有红旗和黄旗怎么样?

标签: rest rest-security


【解决方案1】:

我希望将问题与您的 REST api 分开。 您的 api 是您想要建立一些安全性的服务。因此,安全性实际上并不会影响您的 api 设计。

要做的一件微不足道的事情是控制输入流。有一些与 DOS 或 DDOS 攻击相关的模式可以被识别为采取反措施。这就是Intrusion Prevention Systems (IPS) 所做的。

请查看here,如果您对更深入的内容更感兴趣,请查看here

如果您的请求未经过身份验证(即您的 api 是公开的),我认为您无能为力。

【讨论】:

    猜你喜欢
    • 2019-06-03
    • 2016-10-23
    • 2012-10-08
    • 2019-08-21
    • 2020-10-11
    • 1970-01-01
    • 1970-01-01
    • 2019-04-02
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode