Abbiamo alcuni servizi API RESTful che utilizziamo da diversi anni. Recentemente abbiamo iniziato a prendere in considerazione l'idea di presentare questi a clienti di terze parti in modo che possano scrivere le proprie interfacce utente e possiamo lavorare alla creazione di questo livello di servizio. Sfortunatamente ciò significherebbe che non avremmo il controllo sull'imposizione di quei dati che sono stati disinfettati prima di postare, o prima del rendering che lascia un potenziale rischio per XSS (per esempio se qualcuno dovesse pubblicare dati con JavaScript in una textarea che potrebbe essere salvata nel DB ).
Il nostro stack è Apache, Tomcat e Java.
Qualcuno sa di un modo per mettere un qualche tipo di filtro di fronte a questi endpoint API esistenti che potrebbero gestire la disinfezione dei dati sia in entrata che in uscita (anche se l'ingresso è probabilmente più importante)? Come accennato, si tratta di API di vecchia data che non erano accessibili al pubblico, pertanto lo abbiamo trattato nel livello dell'interfaccia utente, ma vorremmo evitare di dover riscrivere tutti gli endpoint esistenti per gestire la disinfezione, se possibile.