从 API 响应中删除技术信息
任何发布 API 的组织需要确保用户可以安全访问它,并且恶意用户无法成功实施攻击。
政府会保存大量与公民有关的个人数据。 人口普查数据披露了每个公民及其生活的许多相关信息。 此数据有可能遭受恶意利用,进而对相关人士造成伤害。 必须通过 API 终结点公开的任何数据都通过新式标准进行保护。
作为首席开发人员,你将了解如何设置安全的 API 网关,以保护人口普查数据免受未经授权的访问。 它还有助于保护终结点免受拒绝服务攻击。
Azure API 管理
Azure API 管理服务托管在 Azure 云中,位于 API 和 Internet 之间。 Azure API 网关是 Azure API 管理服务的实例。
API 的发布者可使用 Azure 门户或其他 Azure 工具来控制向使用者公开每个 API 的方式。 例如,你可能希望开发人员可出于演示目的自由使用某些 API,并希望严格控制其对其他 API 的访问权限。
响应标头
响应标头是与 HTTP 响应关联的元数据,提供响应的详细上下文。 它们可以公开有关正在使用的服务器和平台技术的信息。
在人口普查 API 示例中,务必移除以下标头:
| 页眉 | Detail |
|---|---|
| x-powered-by | 此标头允许调用方查看正在使用的技术堆栈。 它可能导致恶意用户利用堆栈中的 bug。 |
API 管理设置
若要设置 API 管理,请执行以下步骤:
- 创建 API 管理网关。 此步骤将在 Azure 门户中创建 API 管理资源。 也要将属性分配给网关,例如完全限定的域名 (FQDN) 和定价层。
- 使用网关注册现有 Web API。 此步骤将 Web API 添加到网关。 API 已有自己的 Azure 应用服务主机,但你必须将其添加到 API 管理中才能使用策略和其他 API 管理工具。
- 从响应中移除标头。 在此步骤中,将应用一个策略,用于从所有响应中删除不安全标头。