Введение
Graph Ql — это серверный язык запросов, реализованный в виде интерфейса прикладного программирования. GraphQL популярен среди разработчиков, потому что он предоставляет функции, которые делают ненужным еще один вариант API restAPi. Первоначально предназначенная для внутреннего использования Facebook, платформа стала открытой в 2015 году. Когда пользователь точно знает, что ему нужно, он может эффективно получить это, экономя время и деньги. Поскольку по сети передается меньше данных, повышается производительность.
GraphQl позволяет программистам разрабатывать схему, определяющую типы данных и отношения, которые могут быть запрошены с помощью языка. Благодаря этому стандартизированному методу запросов между клиентом и сервером пользователи могут легко добавлять новые поля в схему, не нарушая уже существующих. Один запрос может заменить многочисленные вызовы для одновременного доступа к нескольким ресурсам. Тот факт, что GraphQL позволяет легко управлять кешем и группировать запросы в один запрос, является причиной того, что он стал таким популярным. Пользователям просто нужен эффективный запрос и мутация между ними, поэтому нет необходимости разрабатывать новую конечную точку.
Уязвимости в GraphQL
Мы обсудим пару преимуществ и удобство использования GraphQL в современной инфраструктуре. Но в то же время, если мы не реализуем его с правильными политиками безопасности, он может получить конфиденциальные данные. Давайте обсудим уязвимости, существующие в GraphQL.
Запросы на самоанализ
Большинство разработчиков пользуются этой функцией и оставляют ее включенной, хотя при этом внутренняя структура схемы GraphQL становится доступной для потенциальных злоумышленников. Конфиденциальные данные, типы данных и отношения данных — все это честная игра для злоумышленников. Из-за того, что злоумышленник может получить представление о базовой модели данных, это может быть проблемой безопасности, если она не управляется должным образом. Эффективные атаки или несанкционированные запросы разрабатываются злоумышленниками позднее.
запрос
{
