我正在研究WSO2 API Manager,我发现如果我使用WSO2 API Publisher和API Store,我会遇到XSS和CSRF安全错误。使用XSS,我看到WSO2没有编码HTML字符输入。使用CSRF,我看到当我从客户端请求服务器时WSO2没有创建令牌,反之亦然。 是否所有人都知道如何配置WSO2以防止出现这些安全性错误或如何解决这些错误。
先谢谢。
答案 0 :(得分:3)
在我们这方面,我们通过API发布商和API商店发布/使用API时会做一些事情:
Transports属性设置为HTTPS,以便我们可以将API可用性限制为HTTPS。HTTP方法,我们将Auth Type设置为Application,Application User或两者,但绝不会none。这将迫使客户端使用WSO2 Access Token方案来调用API Store上托管的API。答案 1 :(得分:2)
我们在下一版AM V 1.7.1中解决了这些类型的安全问题。您可以在9月的第3周期待它。