Closed Ceredron closed 1 month ago
Har vurdert APIM, men etter å ha sett mer på det ser jeg at APIM ikke er så god som først tiltenkt. Så opprinnelig for meg at en kunne definere en "browser-policy" som kunne brukes på tvers av produkter, men ser nå at det er ganske store forskjeller for hva som passer hvert use-case mtp caching og lignende, og APIM policies er verre å vedlikeholde enn noe nært egen kodebase. Så jeg anbefaler å bruke Asp.Net middlewares isteden.
Beskrivelse Når brukere av API-ene våre går direkte mot oss via en nettleser er de utsatt for enkelte nye angrepsvektorer. Vi bør sikre at nettleserene ikke eksekverer skadevare i filinnholdet ved å sette påtvinge å lese innholdet med riktig Content-Type ("application/octet-stream") slik at filen bare leses som en filstrøm, ikke video eller lignende. Vi kan også sørge for bedre sikkerhet ved bruk av delte datamaskiner ved å sette en "no-cache" policy på det returnerte innholdet.