0

HTTP 経由で JSON として公開された場合、REST インターフェイスを保護するための一般的な手順は何ですか?

これが私が考えていることです(認証にOAuth2を使用します):

  • クライアント側とサーバー側の両方で入力をサニタイズする
  • 安全なエンドポイントで HTTPS を強制する
  • CSRF 保護を提供する ( stateOAuth2 フローで param を使用)
  • キューとキャッシュ (例: Redis) をエンドポイントとクライアントの間、およびエンドポイントとバックエンド コンポーネントの間に配置します。可能性のある DDoS への対処を支援するため [および一般的なパフォーマンスのために]
  • ファイアウォールやその他のそのようなメカニズムが配置されていることを確認します (Web サーバーのセキュリティ)

このシステムを稼働させる前に、ハッチをバタンと閉めることを他にどのように提案しますか?

4

1 に答える 1

0

私のポイント:

1- 安全なエンドポイントだけでなく、全体で https を使用します。これにより、「中間者」タイプの問題が回避されます。2-私の知る限り、「認証コード」付与タイプを実装している場合にのみ、CSRF保護が必要になります。3- マイナーな DDoS 攻撃の場合は、apache の mod_evasive などを使用して、アプリケーション層ではなく Web サーバー層自体でこれを防ぎます。主要なボットネット (最近では、数百ドルまたは数千ドルで数千台のコンピューターからなるボットネットをレンタルできます) の場合、Akamai などによる高価なソリューションが必要になります。

于 2013-07-16T08:04:15.790 に答える