说我的API要求ID为string,并且我的服务器验证了该类型-如果不是string,我是否应该使用类似..“字段必须为字符串类型?”的响应。这对于阅读文档的用户可能很方便,因为这将是对其客户端代码的简单修复,但是黑客呢?
他们可以通过这些响应来获取信息,以了解有关API输入的更多信息。即他们可以输入任何随机数据,然后找出API仅使用字符串,这可以进一步帮助他们。
对此有何想法?
您应该提供有关错误的尽可能多的详细信息,以便可以帮助人们使用您的API。您的实现应进行所有必要的检查,以确保输入数据安全。
仅特定点:不要抛出诸如“数据库中不存在电子邮件”之类的错误,因为它会泄漏有关您的数据的信息。