最後更新:
Click to expand / collapse
通過API Web集成不僅是方便,而且是漏洞的潛在來源。我們實現了對CORS(跨源資源共享)的全面支持,以及跨站點請求偽造(CSRF)和惡意JavaScript(XSS)實施的防禦機制。
這些措施在處理瀏覽器客戶端,前端,行車記錄儀和第三方集成時尤為重要。
實現的內容
| 二.機制 | 目的和益處 |
|---|---|
| CORS設置 | 限制僅從受信任域訪問API |
| CSRF令牌 | 檢查瀏覽器中的POST/PUT請求的合法性 |
| Cookie SameSite | 阻止未經授權的跨域Cookie請求 |
| XSS過濾技術 | 清除輸入並防止腳本引入 |
| Content Security Policy (CSP) | 管理允許的腳本和資源源 |
它是如何工作的?
1.可信源列表(「Access-Control-Allow-Origin」)可自定義')
2.所有請求均通過CORS預飛程序(OPTIONS),並帶有標題檢查
3.表單-應用可在服務器上驗證的CSRF令牌
4.所有輸入均通過XSS過濾和屏蔽
5.CSP限制僅從允許的源執行腳本
API和frontenda的優勢
防止通過第三方站點竊取數據和令牌
安全地處理瀏覽器、SPA和第三方集成
靈活配置允許的域、方法、標題
保護會話和授權免遭偽造或劫持
提高用戶和審計師對您的API的信心
在哪裏,特別重要
使用瀏覽器中的API的Web應用程序
Dashbords,個人辦公室,管理人員
React、Vue、Angular上的SPA應用程序和前端
具有自定義令牌或Cookie授權的平臺