我们正在开发一些API,这些API将通过APIM向外部供应商公开。因此,作为API提供商,我们需要采取预防措施来避免DOM注入或交叉脚本(存储XSS攻击,反射XSS攻击,基于DOM的XSS攻击)。当我们做了一些研究时,所有这些问题都是在浏览器中渲染时触发的,我们没有发现任何安全威胁,将其保存为字符串到DB(我们正确处理SQl注入)。因为我们的API供应商可以是桌面/网页/移动。因此,任何关于这一点和如何实施的建议将非常感谢。
是的,您必须验证进入API的任何收入数据。
即使注入的代码不会威胁到你的API,如果客户端使用了"eval"在从API接收到的数据中,它可能是一个威胁。
通常你用来创建API的框架提供了验证机制,例如,如果你的API是PHP + Laravel这是https://www.cloudways.com/blog/prevent-laravel-xss-exploits/