通过api删除资源时需要考虑哪些事项

What are the things that need to be considered while deleting a resource through api

提问人:arya.s 提问时间:3/9/2022 更新时间:3/12/2022 访问量:56

问:

考虑一个简单的资源,如 Web 应用程序的产品。如果有人掌握了访问令牌和资源 ID,则可以轻松删除资源。我们如何保护此类攻击。

安全 Web 应用程序 客户端攻击

评论

答:

1赞 mbakereth 3/12/2022 #1

对于普通用户,您不应授予对 products 等表的删除权限。这应该仅限于管理员用户。

如果您的管理员帐户需要通过 API 删除产品,那么是的,如果泄露了访问令牌,则您的产品很容易被删除。最好的防御是

  • 仅通过 HTTPS 发送访问令牌来确保访问令牌的安全
  • 不允许在 GET 请求中删除
  • 使用 CSRF 令牌
  • 检查 IP 地址和/或用户代理是否与创建令牌时的值匹配
  • 缩短访问令牌的过期时间。

查看 OAuth2 访问令牌。

上一个:XSS PoC:在 DOM 中隐藏渲染字符

下一个:Localhost JavaScript 捆绑包正在尝试被用户注入我的网站。(由 Sentry 报告,一个错误和性能跟踪工具)