機密データ(OAuthで保護されているにもかかわらず)を公開する本番APIに Swagger ページを残すと、どのようなセキュリティ問題が発生する可能性がありますか?悪質な手段でOpen API定義ファイル(つまりswagger)を収集するWebクローラーはありますか?
APIを公に文書化することで、APIを悪用する可能性のある方法を特定する際に攻撃者が有利なスタートを切ることができます。
機能的な Swagger UI ページをホストする予定の場合は、APIのクロスオリジンリソースシェアリングポリシーが過度に許容されていないこと、およびクロスサイトリクエストフォージェリ保護が設定されていることを確認してください。
同様に、Swagger UIページをX-Frame-Options
ヘッダーなどを介してフレームジャッキングから守るように注意してください。
それらとは別に、これらの他のビジネス関連のリスクを考慮してください。