本项目引荐学习 文章来源 https://mp.weixin.qq.com/s/UXw1nzopLLbzFy32n3Aknw 一、API的安全
作为一个Dotnet Core的老司机,写API时,能兼顾到API的安全,这是一种优雅。
通常,我们会用认证来保证API的安全,无敌的Authorize能解决我们很多的问题。
但是,总有一些场合,我们没办法用Authorize,而只能用匿名或不加验证的方式来访问。比方电商中查询SKU的列表并在前端展示,通常这个无关用户和权限,在完成API的时候,我们也不会加入认证Authorize。
这种情况下,如果直接写,不加入安全级别,这样的体系结构是有可能成为可供利用的安全漏洞的。
Dotnet Core框架已经提供了一些常见漏洞的解决方法,包括:
跨站点脚本 SQL注入 跨站点请求伪造(CSRF) 重定向 等等。
但是,我们还需要更进一步,还需要照顾到以下常见的攻击:
拒绝服务(DOS) 分布式拒绝服务(DDOS) 批量API调用 探测响应 数据抓取 这部分内容,需要我们自己实现。当然,这部分内容的实现,也可以从Web Server上进行设置。
本文讨论的,是代码的实现。