У меня есть веб-сайт, который расходует остальные API, выставленные на веб-сервере. Это сайт-контент и бесплатно для публики. Таким образом, любой может читать содержимое, проводя на нем (которые в фоновом режиме используют разные REST API). В то же время я беспокоюсь, что кто-то может выяснить мои возможности от инструментов разработчика в браузере и назвать их (миллионы раз), чтобы отключить мой сервер. Мне нужно защитить мой REST apis, за исключением браузеров. Как мне это сделать?Защита REST API
0
A
ответ
0
Мне нравится видеть проблему, отделенную от вашего REST api. Ваш api - это сервис, поверх которого вы захотите создать некоторую систему безопасности. Поэтому безопасность на самом деле не влияет на дизайн вашего api.
Одна из тривиальных задач - управление входными потоками. Существуют шаблоны, связанные с атаками DOS или DDOS, которые можно распознать для проведения противодействия. Это то, что делают Intrusion Prevention Systems (IPS).
Пожалуйста, посмотрите here и, если вас больше интересует что-то более глубокое, here.
Если ваши запросы не аутентифицированы (т. Е. Ваш apis является общедоступным), я думаю, вы больше ничего не можете сделать.
Если у вас нет механизма 'CORS', вы должны быть хорошими, но ... – Hackerman
Используйте прокси-сервер HTTP перед службой REST. Это можно использовать для кэширования ответов. –
Это не серебряная пуля, но как насчет использования https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project и проверьте свой сайт на наличие красных и желтых флагов? – Hackerman