REST API Micro Focus ALM
Proteja seus dados com sanitização automática ao retornar informações via REST API. Personalize as regras e aumente a segurança das integrações.
Ao trabalhar com APIs REST, garantir que as informações compartilhadas sejam seguras e livres de vulnerabilidades é essencial. A sanitização de saída torna a exposição de dados muito mais confiável.
A REST API do Micro Focus ALM aplica a sanitização de saída em todos os dados retornados. Isso significa que valores potencialmente inseguros são automaticamente codificados ou limpos, evitando ataques como cross-site scripting.
A configuração padrão é automatizada, mas é possível personalizar o nível de sanitização conforme as necessidades do projeto. Assim, desenvolvedores podem balancear entre segurança e funcionalidade dos dados.
Como funciona a sanitização de saída
Os dados retornados pela API podem conter textos, códigos HTML ou outros conteúdos. Ao serem sanitizados, elementos perigosos são alterados ou removidos.
É possível escolher entre três opções: não fazer nada, aplicar codificação de texto ou usar uma lista de permissões personalizada para HTML.
Campos textuais se beneficiam da codificação padrão, enquanto valores HTML são comparados com uma whitelist predefinida.
Elementos e atributos não autorizados são eliminados, garantindo que apenas conteúdos seguros sejam exibidos na resposta da API.
Todo esse processo previne falhas conhecidas e aumenta significativamente a segurança das integrações.
Como configurar a lista de permissões (whitelist)
Para quem precisa de regras específicas, o ALM permite customizar tags, atributos e protocolos aceitos através de um arquivo XML.
Basta criar um arquivo chamado sanitizer-whitelist.xml e defini-lo no diretório correto do servidor de aplicação.
Essa personalização é útil para ambientes que exigem regras de segurança mais rígidas ou permissivas, conforme o contexto do negócio.
Após atualizar a whitelist, é necessário reiniciar o serviço de Application Quality Management para aplicar as novas regras.
Em ambientes em cluster, lembre-se de replicar o arquivo em cada nó.
Principais vantagens para desenvolvedores
A principal vantagem da sanitização de saída automática é a segurança reforçada contra ataques comuns de injeção e manipulação de dados via API.
Outro ponto relevante é a flexibilidade nas configurações, que permite personalizar conforme o risco do projeto e da instituição.
Além disso, o recurso facilita o desenvolvimento de integrações rápidas, pois elimina a preocupação constante dos desenvolvedores com validações manuais.
Ao deixar a sanitização como padrão, reduz-se a chance de falhas por esquecimento ou erro humano.
Essas características tornam o ALM uma poderosa ferramenta para projetos que prezam por qualidade e integridade dos dados.
Possíveis limitações e cuidados básicos
Apesar dos benefícios, é importante avaliar cuidadosamente antes de desabilitar ou relaxar as regras de sanitização.
Permitir conteúdos sem validação pode abrir brechas de segurança ou comprometer a experiência do usuário final.
Quando necessário exibir HTML personalizado, prefira ajustar apenas os campos específicos, nunca a regra global.
Documente todas as alterações na whitelist para manter o controle em auditorias futuras.
Evite incluir protocolos ou tags muito permissivos sem análise profunda dos riscos envolvidos.
Tabela informativa sobre tipos de sanitização
| Tipo | Uso recomendado | Nível de segurança |
|---|---|---|
| Fazer nada | Campos confiáveis | Baixo |
| Codificação de texto | Valores simples | Alto |
| Sanitização HTML | Campos ricos | Médio-Alto |
Resumo em lista dos principais pontos
- Sanitização impede ataques de XSS e injeção.
- Configuração automática, mas pode ser personalizada.
- Whitelist determina o que é permitido nos retornos.
- Alterações exigem reiniciar o serviço.
- Recomenda-se cuidado ao flexibilizar regras.
Conclusão
Sanitizar a saída da REST API é medida fundamental para proteger aplicações corporativas. A ferramenta oferece robustez, flexibilidade e fácil manutenção.
Com configuração adequada, é possível garantir segurança, sem prejudicar a experiência e entrega de valor ao usuário final.