Web2py 安全性

在前几章中，已经详细介绍了使用各种工具进行web2py实施的信息。开发web2py应用程序的主要关注点是从用户角度保障安全性。

web2py的独特特性如下：

• 用户可以轻松学习实施方式。不需要安装和依赖项。

• 从发布以来一直稳定。

• web2py是轻量级的，包含数据抽象层和模板语言的库。

• 它借助Web服务器网关接口（Web Server Gateway Interface）工作，作为Web服务器和应用程序之间的通信。

开放Web应用程序安全项目（OWASP）是一个列出Web应用程序安全漏洞的社区。

安全漏洞

根据OWASP，下面讨论与Web应用程序相关的问题以及web2py如何解决它们。

跨站脚本

也称为XSS。每当应用程序获取用户提供的数据并将其发送到用户的浏览器时，如果没有对内容进行编码或验证，就会出现此问题。攻击者使用跨站脚本执行脚本来注入蠕虫和病毒。

web2py通过在 视图 中防止所有渲染变量来防止XSS。

信息泄露

有时应用程序会泄露有关内部工作、隐私和配置的信息。攻击者利用这些信息窃取敏感数据，可能导致严重攻击。

web2py通过票务系统来预防此问题。它记录所有错误并向发生错误的用户发放票。这些错误只能由管理员访问。

破坏认证

帐户凭据通常没有得到保护。攻击者通过窃取密码和认证令牌来盗取用户的身份。

web2py提供了一种管理界面机制。它还在客户端不是“localhost”时强制使用安全会话。

不安全的通信

有时应用程序无法对网络流量进行加密。必须管理流量以保护敏感通信。

web2py提供启用SSL的证书以提供通信加密。这也有助于维护敏感通信。

URL访问限制

Web应用程序通常通过阻止向某些用户显示链接和URL来保护敏感功能。攻击者可以通过操作URL以获取某些信息来试图突破一些敏感数据。

在wb2py中，URL映射到模块和函数，而不是给定的文件。它还包括一种机制，指定哪些函数是公共的，哪些是私有的。这有助于解决这个问题。