restful apiRESTFul API 在安全方面需要注意什么

RESTFul API 在安全方面需要注意什么

在Rio的基础上，补充几点： 防CSRF类攻击：RESRFul API由于是面向程序，很容易被实施自动化类攻击，这类问题的反例可以参考新浪微博之前的蠕虫、强制关注等漏洞，常规的防御方法主要有：构造不可预测token、Refer校验等； 底层程序语言框架安全：和应用开发者关系不大，属运维层面安全问题，但如果忽视，开发者容易躺着中枪，这类问题的反例可以参考之前很火的Java Struts2框架执行任意代码漏洞； 第三方应用/内容安全：这里的第三方不仅是远程的，还包括本地的，例如本地调用curl不当导致的任意文件访问漏洞；