开发安全的 API 所需要核对的清单 Secer's Blog - 记录互联网安全历程与个人成长经历

以下是当你在设计, 测试以及发布你的 API 的时候所需要核对的重要安全措施.

身份认证

使用与操作相符的 HTTP 操作函数, GET (读取), POST (创建), PUT (替换/更新) 以及 DELETE (删除记录), 如果请求的方法不适用于请求的资源则返回 405 Method Not Allowed.
在请求头中的 content-type 字段使用内容验证来只允许支持的格式 (如 application/xml, application/json 等等) 并在不满足条件的时候返回 406 Not Acceptable.
验证 content-type 的发布数据和你收到的一样 (如 application/x-www-form-urlencoded, multipart/form-data,application/json 等等).
验证用户输入来避免一些普通的易受攻击缺陷 (如 XSS, SQL-注入, 远程代码执行 等等).
不要在 URL 中使用任何敏感的数据 (credentials, Passwords, security tokens, or API keys), 而是使用标准的认证请求头.
使用一个 API Gateway 服务来启用缓存、访问速率限制 (如 Quota, Spike Arrest, Concurrent Rate Limit) 以及动态地部署 APIs resources.

检查是否所有的终端都在身份认证之后, 以避免被破坏了的认证体系.
避免使用特有的资源 id. 使用 /me/orders 替代 /user/654321/orders
使用 UUID 代替自增长的 id.
如果需要解析 XML 文件, 确保实体解析(entity parsing)是关闭的以避免 XXE 攻击.
如果需要解析 XML 文件, 确保实体扩展(entity expansion)是关闭的以避免通过指数实体扩展攻击实现的 Billion Laughs/XML bomb.
在文件上传中使用 CDN.
如果需要处理大量的数据, 使用 Workers 和 Queues 来快速响应, 从而避免 HTTP 阻塞.
不要忘了把 DEBUG 模式关掉.

发送 X-Content-Type-Options: nosniff 头.
发送 X-Frame-Options: deny 头.
发送 Content-Security-Policy: default-src 'none' 头.
删除指纹头 - X-Powered-By, Server, X-AspNet-Version 等等.
在响应中强制使用 content-type, 如果你的类型是 application/json 那么你的 content-type 就是application/json.
不要返回敏感的数据, 如 credentials, Passwords, security tokens.
在操作结束时返回恰当的状态码. (如 200 OK, 400 Bad Request, 401 Unauthorized, 405 Method Not Allowed 等等).