本文提出了一种名为PEMark的API响应水印方案，旨在解决API数据泄露后的溯源问题。现有水印技术通常需要修改数据库或API响应数据，这会迫使业务系统代码变更，甚至因数据值改变而影响正常业务。作者创新性地利用JSON/XML键值对顺序中固有的排列冗余——这一被忽视的维度不携带语义信息，但提供了丰富的编码容量。方案包含两个核心组件：水印代理网关和基于位置编码的水印嵌入。首先，服务器响应被转发至水印代理网关，该设计无需对现有业务系统进行任何修改；然后，通过位置编码对键值对进行重新排序来嵌入水印，而不改变任何数据值。据作者所知，这是首个通过代理网关上的位置编码实现无损API响应水印的工作。实验结果显示，该框架在保持业务可用性的同时，确保返回的API数据可追溯。与当前主流方案相比，该方法对篡改和插入攻击具有鲁棒性（100%相似度），并能抵御一定程度的删除攻击。论文主要贡献包括：零业务代码修改、零数据值修改、高鲁棒性、以及首创性的位置编码水印方法。适合关注API安全、数据泄露防护、水印技术的研究人员和工程师阅读。