API 安全核对清单

身份验证与授权

• 使用安全的身份验证机制：采用 OAuth 2.0、JWT、API Key 等安全协议，避免使用容易被攻破的机制。

• 对所有访问进行身份验证：确保每个端点都需要身份验证，即使是内部接口。

• 实施强制访问控制（MAC）或基于角色的访问控制（RBAC）：根据用户角色和权限限制其访问资源的能力。

• 防止权限提升：验证用户是否有权访问或修改特定资源，防止水平和垂直权限提升攻击。

输入验证

• 验证和清理所有输入：对用户提供的所有数据进行验证，防止 SQL 注入、跨站脚本（XSS）等攻击。

• 使用白名单验证：仅接受预期的输入格式和内容，拒绝不符合的输入。

• 限制上传文件类型和大小：防止用户上传包含恶意代码的文件。

数据保护

• 强制使用 HTTPS：所有通信都应通过 TLS/SSL 加密，防止中间人攻击。

• 加密敏感数据：对存储和传输中的敏感信息进行加密，如用户密码、个人身份信息（PII）等。

• 避免在 URL 中传递敏感信息：使用请求头或请求体传递令牌等敏感数据，避免被日志或浏览器缓存记录。

错误处理和日志记录

• 统一错误响应：提供通用的错误信息，避免泄露系统内部结构和实现细节。

• 安全地记录日志：记录必要的操作日志，但要避免将敏感信息写入日志文件。

• 监控和报警：设置对异常行为的监控，并及时发出警报。

速率限制与安全防护

• 实施速率限制：防止暴力破解、DOS 攻击，通过限制每个 IP 或用户的请求频率。

• 使用防火墙和 API 网关：部署 WAF（Web 应用防火墙）或 API 网关来过滤恶意请求。

• 防止重放攻击：使用唯一的请求 ID 或时间戳，确保请求的唯一性和时效性。

API 设计最佳实践

• 遵循 RESTful 原则：使用标准的 HTTP 方法和状态码，提升一致性和可维护性。

• 分页和数据过滤：对于返回大量数据的接口，提供分页和过滤功能，防止数据过载。

• 最小化数据暴露：仅返回必要的字段，避免透传数据库模型或过多信息。

安全头设置

• 配置安全相关的 HTTP 头：
  • Content-Security-Policy：防止跨站脚本和数据注入攻击。
  • X-Content-Type-Options: nosniff：阻止浏览器 MIME 类型猜测。
  • X-Frame-Options: DENY：防止点击劫持攻击。
  • Strict-Transport-Security：强制使用 HTTPS 访问。

跨域资源共享（CORS）

• 正确配置 CORS 策略：仅允许受信任的域访问 API，限制允许的方法和头信息。

• 验证跨域请求来源：对于敏感操作，进一步验证请求的来源域名。

第三方组件和依赖

• 定期更新依赖项：及时更新第三方库，修复已知的安全漏洞。

• 最小化第三方依赖：仅使用必要的库和模块，减少潜在的攻击面。

• 监控依赖项的安全性：使用工具（如 Snyk、Dependabot）监控并通知依赖项中的漏洞。

测试与审计

• 安全代码审查：在开发过程中定期进行代码审查，发现潜在的安全问题。

• 渗透测试：模拟黑客攻击方式，对 API 进行安全测试和评估。

• 使用自动化安全扫描工具：集成 SAST（静态应用安全测试）和 DAST（动态应用安全测试）工具。

法规遵从与隐私

• 遵守数据保护法规：如 GDPR、CCPA 等，确保用户数据的合法使用和存储。

• 明确定义隐私政策：告知用户数据收集、使用和共享的方式。

• 提供数据擦除和导出功能：满足用户对其个人数据的控制权要求。

其他安全考虑

• 使用 CSRF 保护机制：对于状态变化的操作，使用 CSRF 令牌来防范跨站请求伪造。

• 保护缓存数据：避免将敏感信息存储在缓存中，或正确设置缓存控制头。

• 定期备份和恢复测试：确保数据在遭受攻击或故障时可以恢复。

• 员工培训和意识提升：定期对开发和运营团队进行安全培训。