我开发了一个 Rest API 应用程序,并使用自定义 JWT 处理身份验证和授权。
我想进一步确保应用程序免受 XSS 攻击或验证不受信任的数据,这些数据可以针对 JSON 请求的每个字段进行处理。
我可以在这方面获得一些帮助,以便在请求的入口级别进行高效的数据处理,而无需触及内部业务验证吗?
您不会在 Restful API 中过滤或转义数据。 API 应该与客户端无关。客户有责任提供 XSS 防护。如果客户正确地完成他们的工作,你最终会得到双重转义的数据。请记住,潜在客户可以是:
- 移动应用程序
- 后端网络服务器
- 网络浏览器
- 桌面应用程序
- 嵌入式系统/物联网
在上面的例子中,只有有限数量的客户端和配置容易受到 XSS 的攻击。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)