在开发公共RESTful API时,是否应该认真对待不安全的直接对象引用?
我去阅读,发现不安全的直接对象引用排名第四。然而,当我试图进一步研究一些现有的公共RESTful API时,结果发现Facebook和世界银行甚至都不关心它。两者都只是使用直接对象引用。如下例所示: Facebook API调用 Word Bank API调用在开发公共RESTful API时,是否应该认真对待不安全的直接对象引用?,api,rest,owasp,Api,Rest,Owasp,我去阅读,发现不安全的直接对象引用排名第四。然而,当我试图进一步研究一些现有的公共RESTful API时,结果发现Facebook和世界银行甚至都不关心它。两者都只是使用直接对象引用。如下例所示: Facebook API调用 Word Bank API调用 这是否意味着我们在开发公共RESTful API时不应该认真对待不安全的直接对象引用?直接来自OWASP指南: 我如何防止这种情况 防止不安全的直接对象引用需要选择一种方法来保护每个用户可访问的对象(例如,对象编号、文件名): 1.使
这是否意味着我们在开发公共RESTful API时不应该认真对待不安全的直接对象引用?直接来自OWASP指南: 我如何防止这种情况
防止不安全的直接对象引用需要选择一种方法来保护每个用户可访问的对象(例如,对象编号、文件名):
1.使用每个用户或会话间接对象引用。[…]
2.检查访问权限。[……] Facebook和世界银行选择了选项2而不是选项1