English | Português (Brasil) | Français | 한국어 | Nederlands | Indonesia | ไทย | Русский | Українська
以下是当你在设计, 测试以及发布你的 API 的时候所需要核对的重要安全措施.
- 不要使用
Basic Auth使用标准的认证协议 (比如 JWT, OAuth). - 不要再造
Authentication,token generating,password storing这些轮子, 使用标准的.
- 使用随机复杂的密钥 (
JWT Secret) 以增加暴力破解的难度. - 不要在请求体中直接提取数据, 要对数据进行加密 (
HS256orRS256). - 使 token 的过期时间尽量的短 (
TTL,RTTL). - 不要在 JWT 的请求体中存放敏感数据, 它是可破解的.
- 始终在后台验证
redirect_uri, 只允许白名单的 URL. - 每次交换令牌的时候不要加 token (不允许
response_type=token). - 使用
state参数并填充随机的哈希数来防止跨站请求伪造(CSRF). - 对不同的应用分别定义默认的作用于和各自有效的作用域参数.
- 限制流量来防止 DDoS 攻击和暴力攻击.
- 在服务端使用 HTTPS 协议来防止 MITM 攻击.
- 使用
HSTS协议防止 SSLStrip 攻击.
- 使用与操作相符的 HTTP 操作函数,
GET (读取),POST (创建),PUT (替换/更新)以及DELETE (删除记录). - 在请求头中的
content-type字段使用内容验证来只允许支持的格式 (比如application/xml,application/json...) 并在不满足条件的时候返回406 Not Acceptable. - 验证
content-type的发布数据和你收到的一样 (如application/x-www-form-urlencoded,multipart/form-data,application/json等等... ). - 验证用户输入来避免一些普通的易受攻击缺陷 (比如
XSS,SQL-注入,远程代码执行等等...). - 不要在 URL 中使用任何敏感的数据 (
credentials,Passwords,security tokens, orAPI keys), 而是使用标准的认证请求头.
- 检查是否所有的终端都在身份认证之后, 以避免被破坏了的认证体系.
- 避免使用特有的资源 id. 使用
/me/orders替代/user/654321/orders - 使用
UUID代替自增长的 id. - 如果需要解析 XML 文件, 确保实体解析(entity parsing)是关闭的以避免
XXE攻击. - 如果需要解析 XML 文件, 确保实体扩展(entity expansion)是关闭的以避免通过指数实体扩展攻击实现的
Billion Laughs/XML bomb. - 在文件上传中使用 CDN.
- 如果需要处理大量的数据, 使用 Workers 和 Queues 来快速响应, 从而避免 HTTP 阻塞.
- 不要忘了把 DEBUG 模式关掉.
- 发送
X-Content-Type-Options: nosniff头. - 发送
X-Frame-Options: deny头. - 发送
Content-Security-Policy: default-src 'none'头. - 删除指纹头 -
X-Powered-By,Server,X-AspNet-Version等等. - 在响应中强制使用
content-type, 如果你的类型是application/json那么你的content-type就是application/json. - 不要返回敏感的数据, 如
credentials,Passwords,security tokens. - 在操作结束时返回恰当的状态码. (比如
200 OK,400 Bad Request,401 Unauthorized,405 Method Not Allowed等等...).
为此存储库创建一个 fork, 进行修改, 并提交 pull request 来贡献. 如果您有任何问题,请发送邮件至 team@shieldfy.io.