Wso2 WSO 2 API管理器是否防止XSS和CRSF安全错误
我正在研究WSO2 API管理器,我发现如果我使用WSO2 API发布者和API存储,我会遇到XSS和CSRF安全错误。使用XSS,我看到WSO2没有对HTML字符输入进行编码。使用CSRF,我看到当我从客户端向服务器请求时,WSO2并没有创建令牌,反之亦然。 每个人都知道如何配置WSO2来防止这些安全错误,或者如何修复它们吗Wso2 WSO 2 API管理器是否防止XSS和CRSF安全错误,wso2,Wso2,我正在研究WSO2 API管理器,我发现如果我使用WSO2 API发布者和API存储,我会遇到XSS和CSRF安全错误。使用XSS,我看到WSO2没有对HTML字符输入进行编码。使用CSRF,我看到当我从客户端向服务器请求时,WSO2并没有创建令牌,反之亦然。 每个人都知道如何配置WSO2来防止这些安全错误,或者如何修复它们吗 感谢高级版。我们在下一版本AM V 1.7.1中修复了这些类型的安全问题。您可以在9月的第三周看到它。我们将在下一个版本AM V 1.7.1中修复这些类型的安全问题。您可
感谢高级版。我们在下一版本AM V 1.7.1中修复了这些类型的安全问题。您可以在9月的第三周看到它。我们将在下一个版本AM V 1.7.1中修复这些类型的安全问题。您可以在9月的第三周看到它。在我们这方面,当通过API发布者和API商店发布/使用API时,我们会做一些事情: 将Transports属性设置为just HTTPS,以便将API可用性限制为just HTTPS。 对于每个HTTP方法,我们将Auth类型设置为Application、Application User或两者,但决不设置为none。这将迫使客户机利用WSO2方案调用API存储上托管的API。 在客户端,我们一直在调用来生成和更新用户和应用程序访问令牌,这样就不必在API存储中手动重新生成密钥。 按顺序使用API转义特殊字符。
就我们而言,在通过API发布者和API存储发布/使用API时,我们会做一些事情: 将Transports属性设置为just HTTPS,以便将API可用性限制为just HTTPS。 对于每个HTTP方法,我们将Auth类型设置为Application、Application User或两者,但决不设置为none。这将迫使客户机利用WSO2方案调用API存储上托管的API。 在客户端,我们一直在调用来生成和更新用户和应用程序访问令牌,这样就不必在API存储中手动重新生成密钥。 按顺序使用API转义特殊字符。
亲爱的isim,我指的是WSO2 API发布者和API商店门户中的XSS和CSRF等安全问题,因此我接受Ratha的回答。如果我们使用WSO2 API管理器的API,我们应该按照您的建议使用。@LeVanDuc所以我猜您指的是易受安全问题影响的API发布者和API存储本身。如果您感兴趣,可以在repository/deployment/server/jaggeryapps文件夹下找到它们的来源。亲爱的isim,我指的是WSO2 API Publisher和API Store Portal中的XSS和CSRF等安全问题,因此我接受Ratha的回答。如果我们使用WSO2 API管理器的API,我们应该按照您的建议使用。@LeVanDuc所以我猜您指的是易受安全问题影响的API发布者和API存储本身。如果您感兴趣,可以在repository/deployment/server/jaggeryapps文件夹下找到它们的源代码。