Integracje Web API są nie tylko wygodne, ale także potencjalnym źródłem wrażliwości. Zapewniamy pełne wsparcie dla CORS (Cross-Origin Resource Sharing), a także mechanizmy ochrony przed fałszowaniem żądań cross-site (CSRF) i złośliwym wtryskiem JavaScript (XSS).
Środki te są szczególnie ważne podczas pracy z klientami przeglądarki, frontu, desek rozdzielczych i integracji firm trzecich.
Co jest wdrażane
| Mechanizm | Cel i korzyści |
|---|---|
| Ustawienia CORS | Ograniczyć dostęp API tylko z zaufanych domen |
| Żetony CSRF | Sprawdź legalność żądań POST/PUT z przeglądarki |
| Strona internetowa plików cookie | Blokowanie nieautoryzowanych plików cookie |
| Filtracja XSS | Oczyścić wejście i chronić przed wtryskiem skryptu |
| Polityka bezpieczeństwa treści (CSP) | Zarządzanie dozwolonym skryptem i źródłami zasobów |
Jak to działa?
1. Konfigurowanie zaufanych list źródłowych („Access-Control-Permit-Origin”)
2. Wszystkie żądania przechodzą przez preflight CORS (OPTIONS) z walidacją nagłówka
3. W przypadku formularzy używa tokenu CSRF, który jest weryfikowany na serwerze
4. Wszystkie dane wejściowe są filtrowane i ekranowane przez XSS
5. CSP ogranicza wykonywanie skryptów tylko z autoryzowanych źródeł
API i korzyści czołowe
Zapobieganie kradzieży danych i żetonów za pośrednictwem stron trzecich
Bezpieczna praca z przeglądarkami, SPA i integracjami firm trzecich
Elastyczna konfiguracja dozwolonych domen, metod, nagłówków
Chronić sesje i upoważnienia przed manipulowaniem lub przechwytywaniem
Zwiększ zaufanie użytkownika i audytora do API
Gdzie szczególnie ważne
Aplikacje internetowe za pomocą interfejsów API z przeglądarki
Deski rozdzielcze, konta osobiste, administratorzy
Aplikacje SPA i frontend na React, Vue, Angular
Platformy z niestandardowymi żetonami lub autoryzacją plików cookie
CORS, CSRF i XSS są podstawą bezpieczeństwa z przodu podczas pracy z API. Zapewniamy silne bezpieczeństwo i elastyczność, aby utrzymać Twoje integracje zarówno funkcjonalne, jak i bezpieczne.