我正在使用Express Js编写REST API,并且对安全性有一些疑问。
我的第一个问题是,黑客可以从客户端发出的请求中获取哪些信息。他们可以找出请求链接吗?正文和标头呢?身体比参数/反之更安全吗?
我的第二个问题是,如果我实施了一个CORS白名单,该白名单仅允许我想访问我的API的来源,那会阻止其他任何人访问API端点吗?人们可以找到解决CORS的方法吗?
从浏览器客户端调用REST api时,everything应视为完全打开。任何人都可以阅读url,标头,正文等。没有合理的方法解决此问题,因此您在设计系统时应牢记这一点。