API arkaly web integrasiýasy diňe bir amatlylyk däl, eýsem gowşak nokatlaryň potensial çeşmesidir. Biz CORS (Cross-Origin Resource Sharing), şeýle hem saýtara galp soraglardan goramak (CSRF) we zyýanly JavaScript (XSS) girizmek mehanizmlerine doly goldaw berýäris.
Bu çäreler brauzer müşderileri, frontend, daşbordlar we üçünji tarap integrasiýalary bilen işleşmekde aýratyn möhümdir.
Näme amala aşyryldy
| Mehanizm | Maksady we peýdasy |
|---|---|
| CORS sazlamalary | Diňe ynanylan domenlerden API-e girmegi çäklendirmek |
| CSRF bellikleri | Brauzerden POST/PUT soraglarynyň kanunylygyny barlamak |
| Cookie SameSite | Rugsatsyz cross-domen cookie soraglaryny blokirlemek |
| XSS süzgüç | Giriş maglumatlary arassalamak we skriptleri girizmekden goramak |
| Content Security Policy (CSP) | Skriptleri we serişdeleri dolandyrmak |
Bu nähili işleýär
1. Ygtybarly çeşmeleriň sanawlary sazlanýar ('Access-Control-Allow-Origin')
2. Soraglaryň hemmesi başlyklary barlamak bilen CORS preflight (OPTIONS) geçer
3. Formalar üçin - serwerde barlanylýan CSRF tokeni ulanylýar
4. Giriş maglumatlarynyň hemmesi XSS-süzgüçden we ekrandan geçýär
5. CSP diňe rugsat berlen çeşmelerden skriptleriň ýerine ýetirilmegini çäklendirýär
API we frontend üçin artykmaçlyklar
Üçünji tarap saýtlary arkaly maglumatlaryň we bellikleriň ogurlanmagynyň öňüni almak
Brauzerler, SPA we üçünji tarap integrasiýalary bilen howpsuz işlemek
Rugsat berlen domenleri, usullary, sözbaşylary çeýe sazlamak
Sessiýalary we ygtyýarnamalary galplaşdyrmakdan ýa-da ele geçirmekden goramak
Ulanyjylaryň we auditorlaryň API-leriňize bolan ynamyny ýokarlandyrmak
Bu ýerde aýratyn möhümdir
Brauzerden API ulanýan web programmalary
Daşbordlar, şahsy hasaplar, dolandyryjylar
SPA programmalary we React, Vue, Angular
Ulanyjy bellikleri ýa-da cookie ygtyýarnamasy bolan platformalar
CORS, CSRF we XSS API bilen işlemekde frontend howpsuzlygynyň esasyny düzýär. Biz siziň integrasiýalaryňyzyň diňe bir funksional däl, eýsem howpsuz bolmagy üçin ygtybarly goragy we çeýeligi üpjün edýäris.