마지막 수정:
Click to expand / collapse
웹 API 통합은 편리 할뿐만 아니라 잠재적 인 취약점 소스이기도합니다. CORS (Cross-Origin Resource Sharing) 에 대한 전폭적 인 지원뿐만 아니라 CSRF (Cross-Site 요청 위조) 및 XSS (악성 자바스크) 주입에 대한 보호 메커니즘도 제공합니다.
이러한 조치는 브라우저 클라이언트, 프론트 엔드, 대시 보드 및 타사 통합으로 작업 할 때 특히 중요합니다.
구현되는 것
| 메커니즘 | 목적과 혜택 |
|---|---|
| CORS 설정 | 신뢰할 수있는 도메인에서만 API 액세스 제한 |
| CSRF 토큰 | 브라우저에서 POST/PUT 요청의 적법성 확인 |
| 쿠키 사메 사이트 | 무단 도메인 간 쿠키 차단 |
| XSS 여과 | 입력을 정리하고 스크립트 주입으로부터 보호하 |
| 콘텐츠 보안 정책 (CSP) | 허용되는 스크립트 및 리소스 소스 관리 |
어떻게 작동합니까
1. 신뢰할 수있는 소스 목록 설정 ('액세스 제어 허용 원산지')
2. 모든 요청은 헤더 검증과 함께 CORS 프리 플라이트 (OPTIONS) 를 통과합니다
3. 양식의 경우 서버에서 확인 된 CSRF 토큰을 사용합니다
4. 모든 입력 데이터가 XSS 필터링 및 스크린됩니다
5. CSP는 승인 된 소스에서만 스크립트 실행을 제한합니
API와 프론트 엔드 이점
타사 사이트를 통한 데이터 및 토큰 도난 방지
브라우저, SPA와 타사 통합을 통한 안전한 작업
허용되는 도메인, 메소드, 헤더의 유연한 구성
변조 또는 캡처로부터 세션 및 승인을 보호
API에 대한 사용자 및 감사 자신감 향상
특히 중요한 곳
브라우저의 API를 사용하는 웹 응용
대시 보드, 개인 계정, 관리자
반응, Vue, 각도에 대한 SPA의 응용 프로그램 및 프론트 엔드
사용자 정의 토큰 또는 쿠키 인증 플랫폼