Безопасность API и веб

Защита веб-приложений на нескольких уровнях: WAF (Web Application Firewall) на периметре фильтрует SQL-инъекции, XSS и др. атаки по сигнатурам; CORS ограничивает вызовы API из браузеров сторонними доменами; CSRF – защита токенами или SameSite cookie; проверка вводных данных (white-list) на сервере предотвращает внедрение опасных команд; использование HTTPS повсеместно; регулярные сканирования уязвимостей и пен-тесты; безопасная конфигурация заголовков (Content Security Policy, HSTS); безопасность должна быть учтена на этапе дизайна API, а не после.