5个REST API安全准则
当开发REST API时,从一开始就必须注意安全方面。
REST是通过URL路径元素表达系统中特定实体的手段。REST不是一个架构,而是一种在Web上构建服务的架构风格。 REST允许通过简单的URL(而不是复杂的请求主体或POST参数)与基于web的系统交互。
1 - 授权
(1)保护HTTP方法
RESTful API通常使用GET(读),POST(创建),PUT(替换/更新)和DELETE(删除记录)。
对于每个资源并非都要提供所有这些操作。 必须确保传入的HTTP方法对于会话令牌/API密钥和相关资源集合,操作和记录都是有效的。
例如,如果您有一个RESTful API的库,不允许匿名用户删除书目录条目,但他们可以获得书目录条目。 另一方面,对于图书馆员,这两个都是有效的。
请了解CORS,请启用网站的CORS。
(2)白名单允许的方法
对于某个URL,有多种方法对应实体上的不同操作。
例如,GET请求可能是对应读取实体,而PUT将更新现有实体,POST将创建一个新实体,DELETE将删除现有实体。
只允许需要的动词,其他动词将返回适当的响应代码 ( 例如,禁止一个403)。
(3)保护特权操作和敏感资源集合
并非每个用户都有权访问每个Web服务。 这是至关重要的,因为您不希望Web服务的管理被滥用:
https://example.com/admin/exportAllData
这个URL是一个Web服务管理资源,其会话令牌或API密钥应作为cookie或内容参数发送,以确保特权集合或操作得到正确保护,防止未经授权的使用。
(4)防止跨站点请求伪造
对于RESTful Web服务公开的资源,重要的是确保任何PUT,POST和DELETE请求都受到防止跨站点请求伪造的保护。 通常,使用基于令牌的方法。
CSRF很容易通过随机令牌防止XSS。
2 - 输入验证
帮助用户将高质量的数据输入到您的Web服务中,例如确保邮政编码对提供的地址有意义,或日期有意义。 如果不是,拒绝该输入。
现实情况是,任何人都可以调用您的Web服务,所以假设每秒执行上百次失败的输入验证的人是没有好处的。考虑将API限制为每小时或每天一定数量的请求,以防止滥用。
(1)网址验证
攻击者可以篡改HTTP请求的任何部分,包括url,查询字符串,标题,Cookie,表单字段和隐藏字段,以尝试绕过网站的安全机制。
常见的输入篡改攻击的常用名称包括:强制浏览,命令插入,跨站脚本,缓冲区溢出,格式字符串攻击,SQL注入,cookie中毒和隐藏字段操作。
(2)验证传入的内容类型
当POSTing或PUTting新数据时,,客户端将需要指定传入数据的Content-Type(例如application / xml或application / json)。
服务器不应该猜测Content-Type
它应该总是检查Content-Type头和内容是否是相同的类型。 缺少Content-Type头或意外Content-Type头应该导致服务器拒绝,发出406无法接受响应。
(3)验证响应类型
REST服务通常允许多种响应类型(例如application / xml或application / json,客户端通过请求中的Accept头指定响应类型的首选顺序)。
不要简单地将Accept头复制到响应的Content-type头。 如果Accept报头没有包含允许的类型中任何一个,则需要拒绝请求(理想情况下使用406 Not Acceptable响应)。
因为典型的响应类型有许多MIME类型,所以重要的是为客户端特别记录应该使用哪些MIME类型。
(4)XML输入验证
基于XML的服务必须确保通过使用安全的XML解析来保护它们免受常见的基于XML的攻击。
这通常意味着防范XML外部实体攻击,XML签名包装等。
见http://ws-attacks.org有关此类攻击的例子。
3 - 输出编码
(1)安全头部
为了确保指定资源的内容被浏览器正确解释,服务器应始终发送带有正确Content-Type的Content-Type头,并且Content-Type头最好包含一个字符集。
服务器还应发送X-Content-Type-Options:nosniff,以确保浏览器不会尝试检测不同于实际发送的内容类型的其它类型(会导致XSS)。
此外,客户端应该发送X-Frame-Options:deny来防止旧版本浏览器中的drag'n drop clickjacking攻击。
(2)JSON编码
JSON编码器的一个关键问题是阻止在浏览器中执行任意JavaScript远程代码...或者,如果您在服务器上使用node.js。 使用正确的JSON序列化程序来正确编码用户提供的数据,以防止在浏览器上执行用户提供的输入,这一点至关重要。
当在浏览器DOM中插入值时,强烈建议使用.value / .innerText / .textContent而不是使用.innerHTML来更新,因为这样可以防范简单的DOM XSS攻击。
(3)XML编码
XML绝不应该由字符串连接构建。 它应该始终使用XML序列化器构造。 这确保发送到浏览器的XML内容是可解析的,并且不包含XML注入。
4 - 加密
(1)传输中的数据
除非公共信息是完全只读的,否则应强制使用TLS,特别是在执行凭证更新、删除和任何事务操作时。 TLS的开销在现代硬件上是可以忽略的,具有微小的延迟增加,其对于最终用户的安全性得到更多的补偿。
考虑使用相互认证的客户端证书为高度特权的Web服务提供额外的保护。
(2)存储中的数据
在正确处理存储敏感或管制数据时,建议实现最佳实践。 有关详细信息,请参阅OWASP 2010年前10 - A7不安全加密存储。
(3)消息完整性
除了HTTPS / TLS,JSON网络令牌(JWT)是一个开放标准( RFC 7519 ),它定义了一个JSON对象参与者之间安全地传送信息的紧凑且自成一体的方式。
JWT不仅可以用于确保消息完整性,而且还可以用于消息发送者/接收者的认证。
JWT包括消息体的数字签名哈希值,以确保在传输期间的消息完整性。 欲了解更多信息,您可以访问https://jwt.io/introduction/ 。
5 - HTTP状态代码
HTTP定义了状态码。 当设计REST API时,不要只使用200成功或404错误。
以下是每个REST API状态返回代码要考虑的一些指南。 正确的错误处理可以帮助验证传入的请求,并更好地识别潜在的安全风险。
200 OK -回应一个成功的REST API的行动。HTTP方法可以是GET,POST,PUT,PATCH或DELETE。
400错误请求 -请求格式错误,如消息正文格式错误。
401未授权 -错误或没有提供任何authencation ID /密码。
403禁止 -当身份验证成功,但身份验证的用户没有权限使用请求的资源。
404未找到 -当请求一个不存在的资源。
405不允许的方法 -意外的HTTP方法的错误检查。 例如,RestAPI期待HTTP GET,但使用HTTP PUT。
429太多的请求 -可能存在的DOS攻击检测或由于速率限制的请求被拒绝
(1)401和403
401“未授权”的真正含义未经身份验证的,“需要有效凭据才能作出回应。”
403“禁止”的真正含义未经授权,“我明白您的凭据,但很抱歉,你是不允许的!”
概要
在这篇文章中,介绍了5个RESTful API安全问题和如何解决这些问题的指南。遵循这些准则将导致更安全和高质量的REST API服务和更多的开发人员友好的REST API。
一些方法(例如,HEAD,GET,OPTIONS和TRACE)被定义为安全的,这意味着它们仅用于信息检索,并且不应该更改服务器的状态。在设计和构建REST API时,您必须注意安全方面。