Versions Compared

Old Version 15

changes.mady.by.user Dick Donker

Saved on

compared with

New Version 16

changes.mady.by.user Dick Donker

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Beschrijving

...

Autoriseer HTTP interacties op de verschillende resources d.m.v. een autorisatie lijst. Deze lijst kan via beheerschermen beheerd worden.

Input validatie (zie ook TOP-KT-012 - Foutafhandeling en Statuscodes - [review]

  • vertrouw geen input parameters en/of (binaire) objecten
  • valideer lengte / formaat, enums en types - strong typing (number, boolean, date, time, enums, etc)
  • valideer strings met reguliere expressies. Bv oid, id, uri, etc voldoen aan bepaalde formaten en worden vaak als string doorgegeven
  • valideer inkomende content-types (application/xml of application/json). Content-Type header en content MOETEN hetzelfde zijn
  • valideer response types. Kopieer NIET  de Accept header naar de Content-Type header van de response

...

  • Maak gebruik van security headers, zoals X-Content-Type-Options: nosniff en X-Frame-Options: deny

Manage de endpointsCORS (Cross Origin Resource Sharing) - Beperkt het opvragen van resources in een ander domein, van waaruit de eerste resource vandaan komt 


Security Headers

  • Er zijn een aantal beveiliging gerelateerde headers die kunnen worden geretourneerd in de HTTP-responses om browsers te instrueren om op specifieke manieren te handelen. De volgende kopteksten moeten in alle (RESTful) API-reacties worden opgenomen.
HeaderBeschrijving
Cache-Control: no-storeVoorkom dat gevoelige informatie in de (browser) cache wordt opgeslagen
Content-Security-Policy: frame-ancestors 'none'Bescherming tegen drag-and-drop style clickjacking aanvallen
Content-TypeSpecificeer de content type van de response (antwoord). Dit MOET gevuld worden
Strict-Transport-SecurityOm een verbinding via HTTPS te vereisen en te beschermen tegen vervalste certificaten
X-Content-Type-Options: nosniffOm MIME-sniffing via de browser te voorkomen
X-Frame-Options: DENYBescherming tegen clickjacking aanvallen met drag-and-drop style

...

TOP-KT-005 - Toegangsbeheersing

TOP-KT-007 - Koppeltaal Launch

TOP-KT-012 - Foutafhandeling en Statuscodes - [review]

Zie ook: REST Security - OWASP Cheat Sheet Series

Oude tekst (kan op termijn weg)

...

  • Er zijn een aantal beveiliging gerelateerde headers die kunnen worden geretourneerd in de HTTP-responses om browsers te instrueren om op specifieke manieren te handelen. De volgende kopteksten moeten in alle (RESTful) API-reacties worden opgenomen.
HeaderBeschrijving
Cache-Control: no-storeVoorkom dat gevoelige informatie in de (browser) cache wordt opgeslagen
Content-Security-Policy: frame-ancestors 'none'Bescherming tegen drag-and-drop style clickjacking aanvallen
Content-TypeSpecificeer de content type van de response (antwoord). Dit MOET gevuld worden
Strict-Transport-SecurityOm een verbinding via HTTPS te vereisen en te beschermen tegen vervalste certificaten
X-Content-Type-Options: nosniffOm MIME-sniffing via de browser te voorkomen
X-Frame-Options: DENYBescherming tegen clickjacking aanvallen met drag-and-drop style

...