API-Security-Checklist

时间：2021-02-09 11:58:31 收藏：0 阅读：0

开发安全的 API 所需要核对的清单

以下是当你在设计，测试以及发布你的 API 的时候所需要核对的重要安全措施。

身份认证

不要使用 `Basic Auth` ，请使用标准的认证协议（如 [JWT](https://jwt.io/)，[OAuth](https://oauth.net/)）。
不要重新实现 `Authentication`、`token generating` 和 `password storing`，请使用标准库。
限制密码错误尝试次数，并且增加账号冻结功能。
加密所有的敏感数据。

使用与操作相符的 HTTP 操作函数，`GET（读取)`，`POST（创建）`，`PUT（替换/更新）` 以及 `DELETE（删除记录）`，如果请求的方法不适用于请求的资源则返回 `405 Method Not Allowed`。
在请求头中的 `content-type` 字段使用内容验证来只允许支持的格式（如 `application/xml`，`application/json` 等等）并在不满足条件的时候返回 `406 Not Acceptable`
验证 `content-type` 中申明的编码和你收到正文编码一致（如 `application/x-www-form-urlencoded`，`multipart/form-data`，`application/json` 等等）
验证用户输入来避免一些普通的易受攻击缺陷（如 `XSS`，`SQL-注入`，`远程代码执行` 等等）。
不要在 URL 中使用任何敏感的数据（`credentials`，`Passwords`，`security tokens`，or `API keys`），而是使用标准的认证请求头。
使用一个 API Gateway 服务来启用缓存、限制访问速率（如 `Quota`，`Spike Arrest`，`Concurrent Rate Limit`）以及动态地部署 APIs resources。

检查是否所有的接口都包含必要都身份认证，以避免被破坏了的认证体系。
避免使用特有的资源 id。使用 `/me/orders` 替代 `/user/654321/orders`。
使用 `UUID` 代替自增长的 id。
如果需要解析 XML 文件，确保实体解析（entity parsing）是关闭的以避免 `XXE` 攻击。
如果需要解析 XML 文件，确保实体扩展（entity expansion）是关闭的以避免通过指数实体扩展攻击实现的 `Billion Laughs/XML bomb`。
在文件上传中使用 CDN。
如果数据处理量很大，尽可能使用队列或者 Workers 在后台处理来避免阻塞请求，从而快速响应客户端。
不要忘了把 DEBUG 模式关掉。

增加请求返回头 `X-Content-Type-Options: nosniff`。
增加请求返回头 `X-Frame-Options: deny`。
增加请求返回头 `Content-Security-Policy: default-src ‘none‘`。
删除请求返回中的指纹头 - `X-Powered-By`，`Server`，`X-AspNet-Version` 等等。
在响应中遵循请求的 `content-type`，如果你的请求类型是 `application/json` 那么你返回的 `content-type` 就是 `application/json`。
不要返回敏感的数据，如 `credentials`，`Passwords`，`security tokens`。
给请求返回使用合理的 HTTP 响应代码。（如 `200 OK`，`400 Bad Request`，`401 Unauthorized`，`405 Method Not Allowed` 等等）。

参考：

　　https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md