将安全信息应用到以下对象时发生错误 拒绝访问_怎样设计安全的GraphQL API?语言选择很关键安全基线配置常见安全问题不恰当的权限控制执行基于节点的访问控制并利用授权层使用可视化工具来帮助设计测试用例经常使用用户 session 作为评估访问的唯一信源不安全的输入校验使用自定义标量进行强输入校验避免自定义标量封装其它类型(JSON/XML)其它转换和缓存问题REST 和 GraphQL 之间转换时避免输入校验问题REST 转 GraphQLGraphQL 转 REST在引入中间缓存时避免破坏
在这篇文章,我们将讨论一些各种 GraphQL 部署和迁移的安全风险,这些安全风险在客户管理过程中被发现。我们会讨论比较常见的高风险权限漏洞,以及不太常见的服务端请求伪造(SSRF)问题。上述这些问题都是我们在尝试实现从 GraphQL 到 REST API 的互操作的迁移中发现的。除漏洞外,我们还将强调常见的错误配置和有风险的设计,来帮你避免常见错误,并为你提供一组测试用例来验证你的实现。语言选...
