Я столкнулся с этой ошибкой, когда у меня была опечатка во имя вкладки. В вашем случае «Данные класса» не совпадали с именем вкладки
blockquote>Наиболее важным фактором безопасности всегда является риск . Мы никогда не сможем создать совершенно безопасную систему, мы можем только попытаться сбалансировать стоимость атаки на систему и стоимость ее взлома. Поэтому прежде всего я хотел бы спросить: что представляет собой риск, если кто-то знает URL вашего API?
Вы правы - это минимальная форма безопасности. Просто не более того.
Задайте себе ряд вопросов:
Что может узнать злоумышленник по ответу? - если вам просто нужно знать, что что-то существует, чтобы начать получать ответы , вы можете начать тестировать его, чтобы увидеть, как он себя ведет. Вы можете помешать этому, подавив ВСЕ ответы, но это может негативно повлиять на ваших законных клиентов, поэтому вы спрашиваете ...
Могу ли я ограничить то, что злоумышленник может узнать по ответу? - если злоумышленнику требуется дополнительная информация, чтобы построить законный запрос , вы можете регулировать и ограничивать все легитимные запросы.
И вопросы продолжают расти оттуда. Все сводится к рентабельности инвестиций - какова ценность того, что вы защищаете, какова площадь атаки и какова вероятность того, что она будет нарушена? Самое главное - это доверие ваших клиентов и пользователей. Как профессионалы, мы должны защищать целостность информации, которой мы доверяем.
Отдельный вопрос по HTTPS (TLS / SSL), что защищено, а что нет, от сторонних слушателей? Краткий ответ: если вы запрашиваете
foo.com/bar
, имя хоста (foo.com) видимо всем, кто хочет знать, но путь (/bar
) - нет; и куки, заголовки и все остальное, включенное в запрос, является безопасным.