0
保护REST API,我要创建一个REST API,将服务于资源的移动应用,这些包括的iOS & 的Android智能手机。通过限制请求源
现在我关心的是限制我的API只处理来自应用程序的请求,这意味着如果请求是通过浏览器完成的,那么我应该否认它。原因是我担心XSS攻击等。
我错了我现在的想法吗?如果不是,那么我该如何告诉请求者来自应用程序?
保护REST API,我要创建一个REST API,将服务于资源的移动应用,这些包括的iOS & 的Android智能手机。通过限制请求源
现在我关心的是限制我的API只处理来自应用程序的请求,这意味着如果请求是通过浏览器完成的,那么我应该否认它。原因是我担心XSS攻击等。
我错了我现在的想法吗?如果不是,那么我该如何告诉请求者来自应用程序?
为了确保您对服务器资源进行身份验证/授权/控制请求,您非常关注并确保REST端点安全。
以下是讨论一些最佳做法的主题:Best Practices for securing a REST API/web service