为什么有些应用程序将API托管在不同的域中？

Question

我看到了应用程序将其API转移到其他域(从api.application.com到api.applicationapi.com)的趋势。

两个例子: 3.basecampapi.com和api.dropboxapi.com

在与仪表板或营销网站不同的域中托管API是否有安全好处？为什么子域是不够的？

Answer 1

在与仪表板或营销网站不同的域中托管API是否有安全好处？

总之，恢复力。

一个好处是，如果API位于完全不同的域上，由于仪表板或营销网站上的内容而设置的任何安全块都不会影响API。

(例如，如果“市场营销”意味着Wordpress或Drupal，这些块可能是一个非常真实的威胁！)

我对谷歌黑名单触发的块有过直接的体验，它们可以影响域名及其子域。如果example.com最后带有恶意软件，那么api.example.com (和api.api.example.com)也会被阻塞。

迁移到api.exampleapi.com时，会将API清晰地隔离开来，这样，如果example.com被列入黑名单，它就不会受到影响。

为什么子域是不够的？

同样，与谷歌至少，块可能扩展到子域以及。此外，基于DNS的过滤器，如OpenDNS通配符，也将阻塞所有子域.

Answer 2

假设Dropbox应用程序会为*.dropbox.com设置一个会话cookie，那么这个cookie也会被发送到api.dropbox.com。

由于会话cookie在很大程度上与安全性相关，所以最好限制其分布半径。使用单独的域api.dropboxapi.com可以确保浏览器永远不会在其中发送会话cookie。

然后Dropbox甚至可以允许在api.dropboxapi.com上具有凭据的CORS，而不会有人劫持Dropbox web应用程序用户的会话cookie。API请求将使用令牌而不是会话进行。