Web API entegrasyonları sadece uygun değil, aynı zamanda potansiyel bir güvenlik açığı kaynağıdır. CORS (Cross-Origin Resource Sharing) için tam desteğin yanı sıra siteler arası istek sahteciliğine (CSRF) ve kötü amaçlı JavaScript (XSS) enjeksiyonuna karşı koruma mekanizmaları sağlıyoruz.
Bu önlemler özellikle tarayıcı istemcileri, ön uç, gösterge panoları ve üçüncü taraf entegrasyonları ile çalışırken önemlidir.
Ne uygulanıyor
| Mekanizma | Amaç ve faydalar |
|---|---|
| CORS ayarları | API erişimini yalnızca güvenilir etki alanlarından kısıtlama |
| CSRF belirteçleri | Tarayıcıdan POST/PUT isteklerinin meşruiyetini kontrol edin |
| Cookie SameSite | Yetkisiz etki alanları arası çerezleri engelleme |
| XSS filtreleme | Girişi temizleyin ve betik enjeksiyonuna karşı koruyun |
| İçerik Güvenliği Politikası (CSP) | İzin verilen komut dosyası ve kaynak kaynaklarını yönetme |
Nasıl çalışır
1. Güvenilir kaynak listelerini yapılandırma ('Access-Control-Allow-Origin')
2. Tüm istekler üstbilgi doğrulaması ile CORS ön kontrol (OPTIONS) geçer
3. Formlar için, sunucuda doğrulanmış bir CSRF belirteci kullanır
4. Tüm giriş verileri XSS filtrelenir ve taranır
5. CSP, komut dosyalarının yalnızca yetkili kaynaklardan yürütülmesini kısıtlar
API ve ön uç avantajları
Üçüncü taraf siteler aracılığıyla veri ve belirteçlerin çalınmasını önleme
Tarayıcılar, SPA ve üçüncü taraf entegrasyonları ile güvenli çalışma
İzin verilen etki alanlarının, yöntemlerin, başlıkların esnek yapılandırılması
Oturumları ve yetkilendirmeyi kurcalamaya veya yakalamaya karşı koruyun
API'nize kullanıcı ve denetçi güvenini artırın
Özellikle önemli olan yerlerde
Tarayıcıdan API'leri kullanan web uygulamaları
Panolar, kişisel hesaplar, yöneticiler
React, Vue, Angular'da SPA uygulamaları ve ön uç
Özel belirteçleri veya çerez yetkilendirmesi olan platformlar
CORS, CSRF ve XSS, API'lerle çalışırken ön uç güvenliğinin temelidir. Entegrasyonlarınızı hem işlevsel hem de güvenli tutmak için güçlü güvenlik ve esneklik sağlıyoruz.