Web API integratsioonid ei ole mitte ainult mugav, vaid ka potentsiaalne haavatavuse allikas. Pakume täielikku toetust CORS-ile (ristuva päritoluga ressursside jagamine), samuti kaitsemehhanismidele kohapealse taotluse võltsimise (CSRF) ja pahatahtliku JavaScripti (XSS) süstimise eest.
Need meetmed on eriti olulised töötades brauseri klientide, frontend, armatuurlauad ja kolmanda osapoole integratsiooni.
Mida rakendatakse
| Mehhanism | Eesmärk ja hüvitised |
|---|---|
| CORS-seadistused | API juurdepääsu piiramine ainult usaldusvaldkondadest |
| CSRF tähised | Veebilehitseja POST/PUT taotluste õiguspärasuse kontrollimine |
| Küpsiste sait | Loata ristküpsiste blokeerimine |
| XSS filtreerimine | Puhastage sisend ja kaitske skripti süstimise eest |
| Sisu turvalisuse poliitika (CSP) | Lubatud skripti- ja ressursiallikate haldamine |
Kuidas see toimib
1. Usaldusväärsete allikate nimekirjade seadistamine („Access-Control-Allow-Origin“)
2. Kõik taotlused läbivad CORS eelkontrolli (OPTIONS) koos päise valideerimisega
3. Vormide puhul kasutab serveris kontrollitud CSRF-märki
4. Kõik sisendandmed on XSS filtreeritud ja sõelutud
5. CSP piirab skriptide käivitamist ainult volitatud allikatest
API ja eelised
Andmete ja märkide varguse vältimine kolmandate isikute veebisaitide kaudu
Turvaline töö brauserite, SPA ja kolmandate osapoolte integratsioonidega
Lubatud domeenide, meetodite, päiste paindlik konfiguratsioon
Seansside ja volituste kaitsmine avamise või püüdmise eest
Kasutaja ja audiitori usalduse suurendamine API suhtes
Kus eriti oluline
Veebirakendused, mis kasutavad APIsid brauserist
Armatuurlauad, isiklikud kontod, haldajad
SPA rakendused ja frontend on React, Vue, Angular
Platvormid kohandatud märkide või küpsiste luba
CORS, CSRF ja XSS on APIdega töötades esiotsa turvalisuse alus. Pakume tugevat turvalisust ja paindlikkust, et hoida oma integratsiooni nii funktsionaalne ja turvaline.