在网络安全场景下，如何设计API安全防护？请举例说明如何防止SQL注入、跨站脚本（XSS）、越权访问，以及如何进行API限流和防DDoS攻击。

1) 【一句话结论】在网络安全场景下设计API安全防护，需采用“输入验证+输出编码+权限控制+限流防攻击”的多层防御体系，通过技术手段（如参数化查询、HTML实体编码、RBAC权限模型、限流算法、CDN+WAF）结合策略实现，从输入到输出、从权限到流量全方位防护，防止SQL注入、XSS、越权及DDoS攻击。

2) 【原理/概念讲解】

• SQL注入：攻击者通过在输入参数中注入恶意SQL语句，绕过验证直接执行数据库操作（类比：把用户输入当作SQL命令执行，比如输入' OR 1=1 --会绕过验证，导致所有数据被查询）。
• 跨站脚本（XSS）：攻击者注入恶意脚本，在用户浏览器中执行（反射型：输入后立即显示脚本；存储型：脚本存储在服务器，用户访问时执行）。
• 越权访问：用户通过修改参数或利用漏洞访问非权限资源（如管理员权限的接口）。
• API限流：控制请求频率，防止资源耗尽或滥用（漏桶算法：按固定速率放水，防止突发流量；令牌桶算法：按速率生成令牌，用完等待）。
• DDoS攻击：大量恶意请求淹没服务器，导致服务不可用（如CC攻击、反射放大攻击）。

3) 【对比与适用场景】

防护措施	定义	特性	使用场景	注意点
输入验证（白名单）	仅允许符合规则的输入（如正则匹配手机号）	严格过滤非法字符	SQL注入、XSS	需覆盖常见攻击模式，避免遗漏合法输入
输出编码（HTML实体）	将特殊字符转为HTML实体（如<→&lt;）	防止脚本执行	XSS	需对所有用户输出进行编码，包括日志
RBAC权限控制	基于角色的访问控制，绑定用户角色与权限	权限隔离	越权	需动态检查请求中的权限标识（如token中的角色）
限流（令牌桶）	按速率生成令牌，请求消耗令牌	防滥用、防资源耗尽	API限流	令牌速率需合理，避免影响正常用户
DDoS防御（CDN+WAF）	CDN分发流量，WAF过滤恶意请求	负载均衡+攻击过滤	DDoS	需结合业务流量特征，避免误判正常请求

4) 【示例】

• SQL注入防御：使用参数化查询（伪代码）

  # 正确：参数化查询
  query = "SELECT * FROM users WHERE id = ?"
  result = db.execute(query, [user_id]).fetchall()
  # 错误：拼接字符串（易受注入）
  query = f"SELECT * FROM users WHERE id = '{user_id}'"
  

• XSS防御：输出编码（伪代码）

  # 输出用户输入时编码
  user_input = "<script>alert('XSS')</script>"
  safe_output = html.escape(user_input)  # 转为 &lt;script&gt;...
  response.write(safe_output)
  

• 越权防御：权限检查（伪代码）

  # 检查用户角色是否允许访问
  if request.user.role != "admin" and request.path == "/admin/data":
      return 403, "无权限访问"
  # 执行业务逻辑
  

• 限流：令牌桶（伪代码）

  # 令牌桶实现（每秒生成5个令牌）
  from collections import deque
  class TokenBucket:
      def __init__(self, rate, capacity):
          self.rate = rate  # 每秒生成令牌数
          self.capacity = capacity  # 桶容量
          self.tokens = capacity
          self.last_time = time.time()
      def consume(self, tokens=1):
          now = time.time()
          elapsed = now - self.last_time
          self.tokens = min(self.capacity, self.tokens + elapsed * self.rate)
          self.last_time = now
          if self.tokens >= tokens:
              self.tokens -= tokens
              return True
          return False
  # 请求处理时检查
  bucket = TokenBucket(rate=5, capacity=10)
  if not bucket.consume():
      return 429, "请求过快，请稍后重试"
  

• DDoS防御：CDN+WAF（请求示例）

  # 正常请求（CDN转发）
  GET /api/user/profile HTTP/1.1
  Host: api.example.com
  # WAF过滤恶意请求（如CC攻击）
  GET /api/user/profile?param=...&param=... (重复参数，WAF识别为CC攻击)
  

5) 【面试口播版答案】
“在网络安全场景下设计API安全防护，核心是构建多层防御体系。首先，针对SQL注入，采用参数化查询（如ORM的预编译语句），避免拼接字符串；针对XSS，对用户输入进行HTML实体编码，防止脚本执行；针对越权访问，通过RBAC模型动态检查用户权限（如token中的角色标识）；然后，API限流用令牌桶算法控制请求频率，防止资源耗尽；防DDoS则结合CDN分发流量和WAF过滤恶意请求（如CC攻击）。这些措施从输入验证、输出编码、权限控制到流量管理，全方位保障API安全。”

6) 【追问清单】

• 问：参数化查询具体如何实现？比如ORM和手动SQL的区别？
  答：ORM（如SQLAlchemy）自动处理参数化，手动SQL需用预编译（如?或:占位符），避免字符串拼接。
• 问：XSS有存储型和反射型，如何区分并分别防护？
  答：反射型是输入后立即显示（如搜索框），存储型是输入存储后用户访问时执行（如评论），防护上都需要输出编码，存储型还需对数据库内容定期扫描。
• 问：越权检查的粒度如何确定？比如接口级还是服务级？
  答：接口级检查更细粒度，根据接口功能（如管理员接口）动态验证权限，避免跨接口越权。
• 问：限流策略中，漏桶和令牌桶的区别？哪个更适合API？
  答：漏桶限制突发流量，令牌桶更灵活（允许突发后恢复），API常用令牌桶，因为能适应正常用户的突发请求。
• 问：DDoS防御中，CDN和WAF如何协同？
  答：CDN分发流量到多个节点，减轻单点压力；WAF在边缘节点过滤恶意请求（如CC、SQL注入），只将合法请求转发到后端。

7) 【常见坑/雷区】

• 坑1：只做输入验证但未对输出进行编码，导致XSS漏洞。
  雷区：认为输入验证足够，忽略输出编码。
• 坑2：权限检查放在业务逻辑中，导致越权漏洞。
  雷区：未在API网关或控制器层进行权限校验，依赖业务逻辑。
• 坑3：限流策略过严，影响正常用户体验。
  雷区：令牌速率设置过低，导致合法用户请求被拒绝。
• 坑4：DDoS防御只依赖单点设备，未结合CDN。
  雷区：单点WAF易被攻击，CDN可分散流量。
• 坑5：忽略API网关的作用，直接在应用层实现安全措施。
  雷区：API网关可集中处理安全策略（如限流、认证），降低应用层复杂度。