暴露的 RESTful 服务是不是需要检查 XSS 攻击

Posted

技术标签:

【中文标题】暴露的 RESTful 服务是不是需要检查 XSS 攻击【英文标题】:Does the RESTful Service exposed need to check for XSS Attacks暴露的 RESTful 服务是否需要检查 XSS 攻击 【发布时间】:2011-12-16 10:34:18 【问题描述】:

我有一个 RESTful WCF 服务,它公开了一个将 XElement 作为参数的方法。

现在我想知道是否需要先检查传入消息是否存在 XSS 攻击,或者框架是否默认处理它。

如果我需要处理,我是否使用 Microsoft XSS 库对来自请求的 XElement 字符串执行此操作。

【问题讨论】:

你说wcf rest service需要更具体一些。 wcf 使用 webhttpbinding 还是 web API? 嗨,Darrel,只是想知道它的 WebHttpBinding 或 WebAPI 有何不同。 它们是用于构建 REST 服务的两个完全不同的库。 Web API 是正确的 ;-) 嗨,Darrel,对不起,我问这个问题可能很愚蠢,但是您如何区分开发 RESTful 服务的方式。我已经实现了 2 种类型的 REST 服务:1. 使用 WebHttpBinding 2. 使用 MVC 样式,即路由机制我这里没有任何配置。 我使用自己的框架,但计划在某个时候迁移到 Web API。 Web API 与 MVC 很好地集成,因此该选项可能值得探索。 【参考方案1】:

查看以下链接了解更多详情

REST Security

REST 没有预定义的安全方法,因此开发人员可以定义自己的安全方法,并且 通常,急于部署...服务的开发人员不会像对待 Web 应用程序那样认真对待它们。

【讨论】:

以上是关于暴露的 RESTful 服务是不是需要检查 XSS 攻击的主要内容,如果未能解决你的问题,请参考以下文章

Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

架构之:REST和RESTful

XSS原理及防范

RestFul接口的安全验证事例

PHP实现Restful风格的API

PHP实现Restful风格的API(转)