Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Sikre nettleserbruk av API-ene #535

Closed
3 tasks done
Ceredron opened this issue Aug 30, 2024 · 1 comment
Closed
3 tasks done

Sikre nettleserbruk av API-ene #535

Ceredron opened this issue Aug 30, 2024 · 1 comment
Labels
kind/feature A distinct functionality or enhancement added to a product to provide specific value to users

Comments

@Ceredron
Copy link
Collaborator

Ceredron commented Aug 30, 2024

Beskrivelse
Når brukere av API-ene våre går direkte mot oss via en nettleser er de utsatt for enkelte nye angrepsvektorer. Vi bør sikre at nettleserene ikke eksekverer skadevare i filinnholdet ved å sette påtvinge å lese innholdet med riktig Content-Type ("application/octet-stream") slik at filen bare leses som en filstrøm, ikke video eller lignende. Vi kan også sørge for bedre sikkerhet ved bruk av delte datamaskiner ved å sette en "no-cache" policy på det returnerte innholdet.

Tasks

  1. kind/user-story product/formidling product/meldingstjenesten
    Andreass2
  2. kind/user-story
    Andreass2
  3. kind/user-story product/formidling product/meldingstjenesten
    Andreass2
@Ceredron Ceredron added the kind/feature A distinct functionality or enhancement added to a product to provide specific value to users label Aug 30, 2024
@Ceredron
Copy link
Collaborator Author

Har vurdert APIM, men etter å ha sett mer på det ser jeg at APIM ikke er så god som først tiltenkt. Så opprinnelig for meg at en kunne definere en "browser-policy" som kunne brukes på tvers av produkter, men ser nå at det er ganske store forskjeller for hva som passer hvert use-case mtp caching og lignende, og APIM policies er verre å vedlikeholde enn noe nært egen kodebase.
Så jeg anbefaler å bruke Asp.Net middlewares isteden.

@Ceredron Ceredron changed the title Sikre nettleserbruk av API-et Sikre nettleserbruk av API-ene Aug 30, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
kind/feature A distinct functionality or enhancement added to a product to provide specific value to users
Projects
Status: ✅ Done
Development

No branches or pull requests

2 participants