api-security

此防護技能專為建構或維護 RESTful 與 GraphQL API 的後端工程師與開發人員設計。它提供全面的安全覆蓋以預防常見漏洞，並專注於安全設計原則。此技能會監控不安全的模式，例如遺失身份驗證、不當授權、未經驗證的使用者輸入以及缺乏速率限制等問題。透過提供即時的最佳實踐，它協助團隊實作強大的防禦機制以抵禦注入攻擊、跨站腳本 (XSS) 與資料洩漏，確保符合 OWASP Top 10 等行業標準。

• 強制執行嚴格的身份驗證 (JWT、令牌標準) 與細粒度的授權檢查。

• 使用 Pydantic 或框架原生驗證器自動化輸入驗證邏輯。

• 禁止 SQL 注入，強制要求使用參數化查詢與安全的 ORM 用法。

• 透過輸出清理、內容安全策略 (CSP) 標頭與安全的內容處理來減輕 XSS 風險。

• 實作速率限制與節流機制以防止拒絕服務 (DoS) 與暴力破解攻擊。

• 防止常見的 API 漏洞，如不安全的直接物件參考 (IDOR) 與功能層級授權失效。

• 在建立新端點、修改請求處理器或更新中介軟體時啟動此技能。

• 在程式碼審查期間使用它來識別硬編碼的密鑰、缺乏錯誤處理或不安全的資料庫互動。

• 它作為互動式安全檢查清單，提供 Python、JavaScript 與 Node.js 的實作模式程式碼片段。

• 輸入需求包括端點定義、路由結構與資料架構。

• 預期輸出為符合強化標準且可投入生產的程式碼區塊。