Web2py 安全性
在前几章中,已经详细介绍了使用各种工具进行web2py实施的信息。开发web2py应用程序的主要关注点是从用户角度保障安全性。
web2py的独特特性如下:
- 用户可以轻松学习实施方式。不需要安装和依赖项。
-
从发布以来一直稳定。
-
web2py是轻量级的,包含数据抽象层和模板语言的库。
-
它借助Web服务器网关接口(Web Server Gateway Interface)工作,作为Web服务器和应用程序之间的通信。
开放Web应用程序安全项目(OWASP)是一个列出Web应用程序安全漏洞的社区。
安全漏洞
根据OWASP,下面讨论与Web应用程序相关的问题以及web2py如何解决它们。
跨站脚本
也称为XSS。每当应用程序获取用户提供的数据并将其发送到用户的浏览器时,如果没有对内容进行编码或验证,就会出现此问题。攻击者使用跨站脚本执行脚本来注入蠕虫和病毒。
web2py通过在 视图 中防止所有渲染变量来防止XSS。
信息泄露
有时应用程序会泄露有关内部工作、隐私和配置的信息。攻击者利用这些信息窃取敏感数据,可能导致严重攻击。
web2py通过票务系统来预防此问题。它记录所有错误并向发生错误的用户发放票。这些错误只能由管理员访问。
破坏认证
帐户凭据通常没有得到保护。攻击者通过窃取密码和认证令牌来盗取用户的身份。
web2py提供了一种管理界面机制。它还在客户端不是“localhost”时强制使用安全会话。
不安全的通信
有时应用程序无法对网络流量进行加密。必须管理流量以保护敏感通信。
web2py提供启用SSL的证书以提供通信加密。这也有助于维护敏感通信。
URL访问限制
Web应用程序通常通过阻止向某些用户显示链接和URL来保护敏感功能。攻击者可以通过操作URL以获取某些信息来试图突破一些敏感数据。
在wb2py中,URL映射到模块和函数,而不是给定的文件。它还包括一种机制,指定哪些函数是公共的,哪些是私有的。这有助于解决这个问题。