09. 常见协议安全
作者:I
协作:
本文档通过介绍常见开发过程中因协议配置错误或代码漏洞而导致安全的问题去避免类似现象的发生。 常见开发过程中的协议:
- HTTPS
- WebSocket
- JWT
- OAuth
- Json
- XML
WebSocket 安全
- 输入未做校验
- 帧数大小未做限制
- 最大连接数未做限制,既可以耗尽客户端也可以耗尽服务端
- 持久链接过多未自动关闭
- Origin头部未做验证
- 未采用HTTPS
- 访问策略未做限制,存在越权现象(授权需由服务端限制)
OAuth 安全
- 回调域名需要白名单限制访问
- OAuth Token泄露
- Refer消息头泄露Authorization Code