我即将创建一个 REST API,将其资源提供给移动应用程序,包括iOS和Android智能手机。
现在我担心将我的 API 限制为仅服务来自应用程序的请求,这意味着如果请求是通过浏览器完成的,那么我应该拒绝它。原因是我担心 XSS 攻击等。
我现在的想法错了吗?如果不是,那么我应该如何判断请求者来自应用程序?
问问题
326 次
1 回答
0
您在现场并且保护 REST 端点对于确保您对服务器资源的请求进行身份验证/授权/控制非常重要。
这是一个讨论一些最佳实践的线程:保护 REST API / Web 服务的最佳实践
于 2013-02-11T05:24:45.857 回答