本文章转载于搜狗测试
身份认证
不要使用Basic Auth使用标准的认证协议 (比如 JWT, OAuth).
不要再造Authentication,token generating,password storing这些轮子, 使用标准的.
JWT (JSON Web Token)
使用随机复杂的秘钥 (JWT Secret) 以增加暴力破解的难度.
不要在请求体中直接提取数据, 要对数据进行加密 (HS256orRS256).
是 token 的过期时间尽量的短 (TTL,RTTL) .
不要在 JWT 的请求体重存放敏感数据, 它是可破解的 easily.
OAuth 授权或认证协议
始终在后台验证redirect_uri只允许白名单的 url.
每次交换令牌的时候不要加 token (不允许response_type=token).
使用state参数并填充随机的哈希数来防止跨站请求伪造(CSRF).
对不同的应用分别定义默认的作用于和各自有效的作用域参数.
访问
限制流量来防止 DDos 攻击和暴力攻击.
在服务端使用 HTTPS 协议来防止 MITM 攻击.
使用HSTS协议防止 SSLStrip 攻击.
输入
使用与操作相符的 HTTP 操作函数 ,GET (读取),POST (创建),PUT (替换/更新)andDELETE (删除记录).
在请求头中的content-type字段使用内容验证来只允许支持的格式 (比如application/xml,application/json...) 并在不满足条件的时候返回406 Not Acceptable.
验证content-type的发布数据和你收到的一样 (如application/x-www-form-urlencoded,multipart/form-data ,application/json等等... ).
验证用户输入来避免一些普通的易受攻击缺陷 (比如XSS,SQL-注入,远程代码执行等等...).
不要在 URL 中使用任何敏感的数据在 (credentials,Passwords,security tokens, orAPI keys), 而是使用标准的认证请求头.
处理
检查是否所有的终端都在身份认证之后, 以防止破坏认证体系.
避免使用特有的资源标识符. 使用/me/orders替代/user/654321/orders
使用UUID代替自增长的 id.
如果你正在解析 XML 文件, 确认确保外部实体是关闭的以避免XXE攻击.
在文件上传中使用 CDN.
如果你在处理大量的数据, 使用 Workers 和 Queues 来快速响应, 从而避免 HTTP 阻塞.
不要忘了吧 DEBUG 模式关掉.
输出
发送X-Content-Type-Options: nosniff头.
发送X-Frame-Options: deny头.
发送Content-Security-Policy: default-src 'none'头.
在响应中强制使用content-type, 如果你的类型是application/json那么你的content-type就是application/json.
不要返回敏感的数据, 如credentials,Passwords,security tokens.
在操作结束时返回恰当的状态码. (比如200 OK,400 Bad Request,401 Unauthorized,405 Method Not Allowed等等...).