今日挑战 · API安全漏洞与防护措施

【单选题】

容易

某公司在《数据安全法》合规检查中发现，其内部API接口未对请求频率进行限制，导致攻击者可通过该接口大量调用数据查询功能，在数小时内窃取了数十万条用户敏感信息。以下哪项措施是防止此类API数据泄露最直接有效的防护手段？

A. 对API返回数据实施静态脱敏处理

B. 在API网关层实施严格的速率限制（Rate Limiting）

C. 将所有API传输协议升级为HTTPS

D. 在API参数中增加数字签名校验

🤔

正确答案与解析在下方

想一想你的答案是什么？
准备好了再往下滑动 👇

📌 答案与解析

正确答案：B

A. 对API返回数据实施静态脱敏处理

✅ B. 在API网关层实施严格的速率限制（Rate Limiting）

C. 将所有API传输协议升级为HTTPS

D. 在API参数中增加数字签名校验

答案解析

该案例描述的是典型的API滥用攻击，攻击者利用无速率限制的接口批量获取数据。选项B（速率限制）直接限制单位时间内的请求次数，可有效阻断批量爬取和暴力枚举，是此类场景最直接有效的防护措施。A项脱敏虽能保护数据，但无法阻止数据量被窃取；C项HTTPS仅保障传输加密，不防止滥用；D项数字签名用于防篡改和身份验证，无法控制调用频率。

相关法规：《数据安全法》第二十七条