API Security Checklist

繁中版| 简中版| العربية | azərbaycan| বাংলা| català| čeština|德意志| εληνικά| Español| فف| Français| हिंदी|印度尼西亚| Italiano | 日本语| 한국어| ພາສາລາວ| lim lim | | മലയാളം|聚| Nederlands | Polski |葡萄牙（巴西）| n ไทย| Türkçe| Y时间tiếngviệt| π了

在设计，测试和发布API时，最重要的安全对策清单的清单。

• 不要使用Basic Auth 。改用标准身份验证（例如JWT）。
• 不要在Authentication ， token generation ， password storage重新发明轮子。使用标准。
• 在登录中使用Max Retry和监狱功能。
• 在所有敏感数据上使用加密。

• 使用随机复杂的钥匙（ JWT Secret ）使野蛮人非常迫使令牌。
• 不要从标题中提取算法。强制后端中的算法（ HS256或RS256 ）。
• RTTL TTL 。
• 不要将敏感数据存储在JWT有效载荷中，可以轻松解码。
• 避免存储太多数据。 JWT通常以标头共享，并且具有尺寸限制。

• 限制请求（节流）以避免DDOS /蛮力攻击。
• 使用TLS 1.2+的服务器侧的HTTPS和安全密码避免使用MITM（中间攻击中的人）。
• 使用SSL的HSTS标题避免SSL带攻击。
• 关闭目录列表。
• 对于私有API，仅允许从安全的IP/主机访问。

• 始终验证redirect_uri服务器端，以仅允许安全的URL。
• 始终尝试交换代码而不代码（不允许response_type=token ）。
• 使用随机哈希的state参数来防止在OAUTH授权过程中进行CSRF。
• 定义默认范围，并为每个应用程序验证范围参数。

• 根据操作使用适当的HTTP方法： GET (read) ， POST (create) ， PUT/PATCH (replace/update) ，然后DELETE (to delete a record) ，如果请求的方法为ISN，则405 Method Not Allowed适用于请求的资源。
• 按请求验证content-type接受标题（内容协商）仅允许您的支持格式（例如， application/xml ， application/json等），并以406 Not Acceptable响应，如果不匹配。
• 在您接受时验证已发布数据的content-type （例如， application/x-www-form-urlencoded ， multipart/form-data ， application/json等）。
• 验证用户输入以避免常见漏洞（例如， XSS ， SQL-Injection ， Remote Code Execution等）。
• 不要在URL中使用任何敏感数据（ credentials ， Passwords ， security tokens或API keys ），而是使用标准授权标头。
• 仅使用服务器端加密。
• 使用API​​网关服务启用缓存，费率限制策略（例如， Quota ， Spike Arrest或Concurrent Rate Limit ）并动态部署APIS资源。

• 检查所有端点是否在身份验证背后受到保护，以避免损坏身份验证过程。
• 用户自己的资源ID应该避免。使用/me/orders代替/user/654321/orders 。
• 不要自动插入ID。改用UUID 。
• 如果要解析XML数据，请确保无法启用实体解析以避免XXE （XML外部实体攻击）。
• 如果您要解析XML，YAML或任何其他具有锚定和裁判的语言，请确保无法通过指数扩展攻击来避免避免Billion Laughs/XML bomb 。
• 使用CDN进行文件上传。
• 如果您要处理大量数据，请使用工人和队列在后台处理尽可能多的处理，并快速返回响应以避免HTTP阻塞。
• 不要忘记关闭调试模式。
• 可用时使用不可执行的堆栈。

• 发送X-Content-Type-Options: nosniff标头。
• 发送X-Frame-Options: deny标题。
• 发送Content-Security-Policy: default-src 'none'标头。
• 删除指纹标头 - X-Powered-By ， Server ， X-AspNet-Version等。
• 迫使content-type为您的响应。如果您返回application/json ，则您的content-type响应是application/json 。
• 不要返回credentials ， passwords或security tokens等敏感数据。
• 根据完成的操作返回正确的状态代码。 （例如， 200 OK ， 400 Bad Request ， 401 Unauthorized ， 405 Method Not Allowed等）。

• 使用单位/集成测试覆盖范围来审核您的设计和实施。
• 使用代码审核过程并无视自我批准。
• 确保您的服务的所有组件在推入生产之前，都由AV软件静态扫描，包括供应商库和其他依赖关系。
• 连续运行代码上的安全测试（静态/动态分析）。
• 检查您的依赖项（软件和OS）是否已知漏洞。
• 设计用于部署的回滚解决方案。

• 将集中登录用于所有服务和组件。
• 使用代理监视所有流量，错误，请求和响应。
• 使用SMS，Slack，Email，Telegram，Kibana，CloudWatch等的警报。
• 确保您不会记录任何敏感数据，例如信用卡，密码，别针等。
• 使用IDS和/或IPS系统来监视您的API请求和实例。

• Yosriady/API开发工具 - 用于构建REST的HTTP+JSON API的有用资源集合。

通过分配此存储库，进行一些更改并提交拉力请求来随意做出贡献。无论如何，请给我们发送电子邮件至[email protected] 。