Web2py - 安全

在前面的章节中,已经有关于使用各种工具实现 web2py 的完整信息。开发 web2py 应用程序的主要关注点包括从用户角度来看的安全性。

web2py 的独特功能如下:

  • 用户可以轻松学习实现。它不需要安装和依赖。

  • 自上线之日起一直保持稳定。

  • web2py 是轻量级的,包含数据抽象层和模板语言的库。

  • 它在 Web 服务器网关接口的帮助下工作,该接口充当 Web 服务器和应用程序之间的通信。

开放Web应用程序安全项目(OWASP)是一个社区,列出了Web应用程序的安全漏洞。

安全漏洞

关于 OWASP,与 Web 应用程序相关的问题以及 web2py 如何克服这些问题将在下面讨论。

跨端脚本

它也称为 XSS。每当应用程序获取用户提供的数据并将其发送到用户的浏览器而不对内容进行编码或验证时,就会发生这种情况。攻击者使用跨端脚本执行脚本来注入蠕虫和病毒。

web2py 通过阻止View中的所有渲染变量来帮助防止 XSS 。

信息泄露

有时,应用程序会泄露有关内部运作、隐私和配置的信息。攻击者利用它来破坏敏感数据,这可能会导致严重的攻击。

web2py 通过票务系统来防止这种情况发生。它记录所有错误,并将票证发送给正在记录错误的用户。这些错误只有管理员才能访问。

身份验证被破坏

帐户凭据通常不受保护。攻击者通过破坏密码、身份验证令牌来窃取用户的身份。

web2py 提供了一种管理界面的机制。当客户端不是“localhost”时,它还会强制使用安全会话。

不安全的通信

有时应用程序无法加密网络流量。有必要管理流量以保护敏感通信。

web2py 提供启用 SSL 的证书来提供通信加密。这也有助于保持敏感的沟通。

URL访问限制

Web 应用程序通常通过阻止向某些用户显示链接和 URL 来保护敏感功能。攻击者可以尝试通过使用某些信息操纵 URL 来破坏某些敏感数据。

在 wb2py 中,URL 映射到模块和函数而不是给定的文件。它还包括一个机制,指定哪些功能是公共的,哪些功能是私有的。这有助于解决问题。