Jak zabezpecit volani REST API

8. 5. 2020 13:24:17

Napsal TomášX;1582999
ano a pokud nepotřebuješ komunikovat s webem, iframe je super, jen musíš znát přesné rozměry dopředu

Ale porad je to o tom, ze nekdo si ten iframe muze dat z ciziho webu na ten svuj a bude to padat do systemu s identifikatorem toho, komu to ukradl... Protoze iframe budu nacitat z urcite URL, kde budou v GET parametru urcite identifikatory.

8. 5. 2020 13:24:17

https://webtrh.cz/diskuse/jak-zabezpecit-volani-rest-api/strana/2#reply1451285

crs

(1 hodnocení)

8. 5. 2020 13:46:35

@musil.david: Těch 20 webů služby tvého API používá na základě nějaké osobní dohody s jejich majiteli/provozovateli - předpokládám to správně? Víš, jaké jejich servery používají technologie/na čem běží (ASP, PHP, Java, …)? Je možnost, že by souhlasili s tím, že by si formulář odeslali "k sobě", na vlastní server, - a ty bys jim na to dodal jednoduchý skriptík -, kterým by si data zašifrovali a poslali je na tvůj server?

8. 5. 2020 13:46:35

https://webtrh.cz/diskuse/jak-zabezpecit-volani-rest-api/strana/2#reply1451284

David Musil

(69 hodnocení)

8. 5. 2020 14:27:05

Napsal crs;1583005
@musil.david: Těch 20 webů služby tvého API používá na základě nějaké osobní dohody s jejich majiteli/provozovateli - předpokládám to správně? Víš, jaké jejich servery používají technologie/na čem běží (ASP, PHP, Java, …)? Je možnost, že by souhlasili s tím, že by si formulář odeslali "k sobě", na vlastní server, - a ty bys jim na to dodal jednoduchý skriptík -, kterým by si data zašifrovali a poslali je na tvůj server?

Osobni dohoda samozrejme ano. Myslenka byla takova, ze fungovat to bude prave nezavisle na technologii, protoze teoreticky to u 20 z nich mohu zjistit. Ale kdyz jich bude do budoucna treba 200, jakoze o tom uvazujeme, tak uz to tak nepujde delat. Tva otazka k odeslani na jejich server si myslim, ze je spojena druhou otazkou. A tam bych chtel byt opravdu nezavisly.

Zkratka Google Analytics jsou super pripad. Jendoduchy kod si da do webu "kazdy" a uz to meri. Na druhou stranu, tady je problem to odeslani formulare. Tady nekdo rekl, ze to u nekoho na webu muze bloknout CORS.

8. 5. 2020 14:27:05

https://webtrh.cz/diskuse/jak-zabezpecit-volani-rest-api/strana/2#reply1451283

skorozacatecnik

8. 5. 2020 14:46:04

Napsal musil.david;1583011
Tady nekdo rekl, ze to u nekoho na webu muze bloknout CORS.

S CORS nebude problém, když si na straně serveru ošetříš HTTP OPTIONS požadavky. Pak můžeš na své straně definovat, koho povolíš a komu CORS blokne komunikaci.

8. 5. 2020 14:46:04

https://webtrh.cz/diskuse/jak-zabezpecit-volani-rest-api/strana/2#reply1451282

skorozacatecnik

8. 5. 2020 14:51:58

Napsal musil.david;1582995
Dekuji vsem za odpovedi, ale tak rikam si... proc neudelat ten iframe ze jo...

Iframe ti to myslím ještě víc zkomplikuje. Je to v podstate samostatny dokument a požadavky z něj na API pak myslím nabudou obsahovat Origin toho volajícího webu, jen parametry z URL toho ifrme. Díky bezpečnostním restrikcím se z toho iframe dokumentu nedostaneš výš (do top window/frame). Taktéž cookies budes mít oddělené. Dá se to tusim řešit na straně serveru, aby ty iframe nešly loadovat do neznámých dokumentů, ale přiznám se, už si to přesně nepamatuju.

Co se týká bezpečnosti, jak psal tomáš, tak ano, iframe bezpečnější, ale internet byl navrzen právě tak, aby se daly zdroje linkovat do jednoho dokumentu a jede na tom celý svět. Tím nechci snížit ten bezpečnostní pohled, je to spíš jen otákza priorit. Třeba do účetnictví nebo CPanelu by si asi GA nikdo nenasadil, naopak na blog, proč ne.

Napsal musil.david;1583011
Tady nekdo rekl, ze to u nekoho na webu muze bloknout CORS.

S CORS nebude problém, když si na straně serveru ošetříš HTTP OPTIONS požadavky. Pak můžeš na své straně definovat, koho povolíš a komu CORS blokne komunikaci.

8. 5. 2020 14:51:58

https://webtrh.cz/diskuse/jak-zabezpecit-volani-rest-api/strana/2#reply1451281