假設我有 API,如果客戶保存了他的銀行賬戶,它會回傳客戶銀行資料。例如 IBAN、銀行代碼、銀行賬戶。所以我的 API 按原樣回傳這些資料。在許多應用程式或檔案中,您通常會看到敏感資訊被屏蔽,例如 123***459。
在我的前端應用程式中,我做了同樣的屏蔽。但是,如果您仍然可以僅從我的 API 中讀取完整的未屏蔽資料。
對此的最佳做法是什么?我應該從rest api回傳像123***459這樣的資料嗎?
uj5u.com熱心網友回復:
我認為這對于人們來說將是一個很難回答的問題,而無需了解您的用例的全部細節。但是,這里有一些想法可以讓您思考:
首先值得一提的是(正如您在帖子中指出的那樣),這絕對是需要小心處理的敏感資料。作為指導原則,必須盡早掩蓋銀行詳細資訊。
- 當需要完整的詳細資訊時,您的 API 是否提供銀行詳細資訊?
如果您的 API 的全部目的是提供以屏蔽形式使用的銀行詳細資訊,那么是的,您應該在 API 回應中屏蔽它們。
- 您可以使用單獨的 API 來提供屏蔽和未屏蔽的銀行詳細資訊嗎?
本質上,這就是說我們可以對問題 1 做出否定回答。那么對于可以獲取未屏蔽銀行詳細資訊的 API,可以比僅提供屏蔽資料更受保護。
- 您是否在客戶端進行屏蔽?
如果答案是肯定的,那么它基本上沒有用,因為用戶(或任何惡意行為者)可以從瀏覽器與 API 的互動中獲取完整的銀行詳細資訊。需要不惜一切代價避免這種情況。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/451377.html
上一篇:AxiosPUT請求-React