Q&A
Closed
Web上で動作するAPIリクエストツールを作成することを考えています。具体的には、Postmanのように、URLやヘッダー、ボディをユーザーが入力してリクエストを送信できるツールをブラウザ上で動作させたいと思っています!!
このようなツールをブラウザ上で動作させる際の一般的なセキュリティの懸念点は何かあるでしょうか?又CORSエラー以外にクライアントサイドでの実装時に注意すべき点は何かあるでしょうか?
あとこれはwebアプリケーションとは言わないのでしょうか?
見当外れなこと聞いていたらごめんなさい(先ほどの投稿でぼこぼこに言われたので...)
このウェブアプリケーションはローカルで実行されることを意図していますか?
または、ウェブアプリケーションはサーバー上にホストされていますか? クライアントがサーバーにリクエストを送信し、サーバーが postman アプリケーションのように動作するよう要求する場合です。
(言い換えれば、クライアントが望む場所にウェブリクエストを送信するのは、あなたのサーバーであることを意味します)
もしウェブアプリケーションがユーザーのコンピュータ内でローカルに実行される場合、通常のウェブリクエストと同じように動作するため、明らかなセキュリティの問題はありません。
ユーザーから指定されたウェブサイトへの不正なリクエストを防ぐために、最大の懸念事項は、ユーザーがサーバーからマルウェアを受け取る可能性があるGETリクエストを送信した場合です。ただし、ファイアウォールやユーザーの PC 上のセキュリティ対策がそれを阻止するはずです。最悪の場合、ユーザーのために 'Content Security Policies (CSP)' を設定する必要があるかもしれません。
しかし、ウェブアプリケーションがユーザーが使用できるようにサーバー上でホストされる場合、以下が主なセキュリティの焦点となるでしょう :
アプリケーションにいくつかのレート制限を設定することを検討するかもしれません。これにより、ユーザーがウェブサーバーを過負荷にかけたり、別のサーバーへのDDoS攻撃の手助けをすることを防ぐことができます。
ウェブサーバーが悪意のあるサーバーにGETリクエストを送信し、マルウェアを受信する可能性があるため、 'Content Security Policies (CSP)' の設定を検討することをお勧めします。それ以外にも、ファイアウォールとサーバーのデフォルトのセキュリティ設定がほとんどの作業を処理するはずです。
ユーザー入力を適切に検証し、車輪の再発明の代わりに安定したAPIを使用すれば、 'Cross-Site Scripting (XSS)' 攻撃からも守られるはずです。
私の意見では、最も重要なのはいくつかの種類のレート制限を設定し、適切な 'Content Security Policies (CSP)' を設定することでしょう。それ以外にも、サーバーのファイアウォールとデフォルトのセキュリティ設定が、ほとんどの作業を処理するはずです
ただし、見逃してしまったことがあるかもしれません w
これはブラウザ上で動作しているため、これはウェブアプリケーションです
