ვებ - ინტეგრაცია API- ს საშუალებით არა მხოლოდ მოხერხებულობაა, არამედ დაუცველების პოტენციური წყაროა. ჩვენ ვასრულებთ სრულ მხარდაჭერას CORS (Cross-Origin Resource Sharing), ასევე თავდაცვის მექანიზმებს მოთხოვნების Office გაყალბებისგან (CSRF) და მავნე JavaScript (XSS) დანერგვისგან.
ეს ზომები განსაკუთრებით მნიშვნელოვანია ბრაუზერის მომხმარებლებთან, ფრონტენდთან, დაშბორდთან და მესამე მხარის ინტეგრაციასთან მუშაობისას.
რა ხორციელდება
| მექანიზმი | დანიშვნა და სარგებლობა |
|---|---|
| CORS პარამეტრები | API- ზე წვდომის შეზღუდვა მხოლოდ სანდო დომენებიდან |
| CSRF ნიშნები | ბრაუზერისგან POST/PUT მოთხოვნების ლეგიტიმურობის შემოწმება |
| Cookie SameSite | არაავტორიზებული ჯვარედინი ღუმელის ქუქი-ფაილების ბლოკირება |
| XSS ფილტრაცია | შეყვანის მონაცემების გაწმენდა და სკრიპტებისგან დაცვა |
| Content Security Policy (CSP) | სკრიპტებისა და რესურსების ნებადართული წყაროების მართვა |
როგორ მუშაობს
1. სანდო წყაროების სიები ('წვდომის კონტროლი-ალოუ-ორიგინი')
2. ყველა მოთხოვნა გადის CORS preflight (OPTIONS) სათაურების შემოწმებით
3. ფორმებისთვის - სერვერზე გადამოწმებული CSRF ნიშანი გამოიყენება
4. ყველა შეყვანის მონაცემი გადის XSS ფილტრაციას და ადაპტაციას
5. CSP ზღუდავს სკრიპტების შესრულებას მხოლოდ ნებადართული წყაროებიდან
უპირატესობა API- სა და ფრონტზე
მესამე მხარის საიტების საშუალებით მონაცემების და ნიშნების ქურდობის თავიდან აცილება
უსაფრთხო მუშაობა ბრაუზერებთან, SPA და მესამე მხარის ინტეგრაციასთან
ნებადართული დომენების, მეთოდების, სათაურების მოქნილი კონფიგურაცია
სესიებისა და ავტორიზაციის დაცვა ყალბი ან დაჭერისგან
თქვენი API- ს მომხმარებლებისა და აუდიტორების ნდობის გაზრდა
სადაც განსაკუთრებით მნიშვნელოვანია
ბრაუზერის API გამოყენებით ვებ პროგრამები
დაშბორდები, პირადი საკლასო ოთახები, კაშხლები
SPA პროგრამები და ფრონტები React, Vue, Angular
პლატფორმები მომხმარებლის ნიშნით ან cookie- ს ავტორიზაციით
CORS, CSRF და XSS არის ფრონტის უსაფრთხოების საფუძველი API- სთან მუშაობის დროს. ჩვენ უზრუნველვყოფთ საიმედო დაცვას და მოქნილობას, რათა თქვენი ინტეგრაცია დარჩეს არა მხოლოდ ფუნქციური, არამედ უსაფრთხო.