您的位置:首页 > 房产 > 建筑 > 25个经典网站源代码_自己做网站的公司_腾讯朋友圈广告投放价格_设计网页

25个经典网站源代码_自己做网站的公司_腾讯朋友圈广告投放价格_设计网页

2024/12/22 21:36:38 来源:https://blog.csdn.net/weixin_52392194/article/details/144468175  浏览:    关键词:25个经典网站源代码_自己做网站的公司_腾讯朋友圈广告投放价格_设计网页
25个经典网站源代码_自己做网站的公司_腾讯朋友圈广告投放价格_设计网页

FastAPI 应用安全性:多层防护

目录
  1. 🛡️ 防御 SQL 注入、XSS 和 CSRF 攻击的实用方法
  2. 🔒 使用 HTTPS 保证数据传输安全
  3. ⚙️ 依赖更新与漏洞修复的安全管理策略

🛡️ 1. 防御 SQL 注入、XSS 和 CSRF 攻击的实用方法

在现代 Web 应用中,安全性是设计的核心环节,特别是需要防范常见的攻击向量如 SQL 注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。合理的编码实践和框架工具可以显著减少这些安全威胁。

防止 SQL 注入

SQL 注入是通过构造恶意输入操纵数据库查询的攻击方式。为了防止此类问题,可以采用以下措施:

  1. 使用参数化查询
    参数化查询能够有效避免用户输入直接插入 SQL 语句中带来的风险。
  2. ORM(对象关系映射)框架
    ORM 框架如 SQLAlchemy 提供了安全的 API,可以避免直接书写 SQL 语句时的安全隐患。
代码示例:防御 SQL 注入

以下示例展示了如何使用 SQLAlchemy 的参数化查询来避免 SQL 注入:

from fastapi import FastAPI, Depends, HTTPException
from sqlalchemy import create_engine, text
from sqlalchemy.orm import sessionmakerDATABASE_URL = "sqlite:///./test.db"
engine = create_engine(DATABASE_URL, connect_args={"check_same_thread": False})
SessionLocal = sessionmaker(autocommit=False, autoflush=False, bind=engine)app = FastAPI()def get_db():"""数据库依赖注入"""db = SessionLocal()try:yield dbfinally:db.close()@app.get("/user/{user_id}")
def get_user(user_id: int, db=Depends(get_db)):"""获取指定用户的信息,防止 SQL 注入"""sql = text("SELECT * FROM users WHERE id = :id")user = db.execute(sql, {"id": user_id}).fetchone()if not user:raise HTTPException(status_code=404, detail="用户不存在")return {"user": dict(user)}

上述代码中,通过使用占位符 :id 和参数化方式有效防止了 SQL 注入风险。


防止 XSS 攻击

XSS 攻击通过将恶意脚本注入到网页中,使得用户在浏览页面时被迫执行这些脚本。可以通过以下方法防止 XSS 攻击:

  1. 输出时转义 HTML
    对所有输出到前端的内容进行严格的 HTML 转义。
  2. 限制用户输入内容
    验证和清理用户输入,避免注入恶意脚本代码。
代码示例:清理用户输入

以下代码演示了如何清理用户输入并输出安全的 HTML:

from fastapi import FastAPI
from pydantic import BaseModel
from html import escapeapp = FastAPI()class Comment(BaseModel):content: str@app.post("/submit_comment")
def submit_comment(comment: Comment):"""接收用户评论并防止 XSS 攻击"""# 转义用户输入以防止 XSSsafe_content = escape(comment.content)return {"message": "评论已保存", "content": safe_content}

通过转义用户输入,可以确保任何 <script> 或类似标签不会被直接执行。


防止 CSRF 攻击

CSRF 攻击通过伪造请求冒充用户执行恶意操作,可以通过以下方式防御:

  1. CSRF Token 验证
    生成唯一的 CSRF Token,并在每次提交时验证该 Token 是否匹配。
  2. 限制跨域请求
    配置 CORS 策略,限制跨域来源。
代码示例:CSRF Token 验证

以下是结合 CSRF Token 的示例:

from fastapi import FastAPI, Form, HTTPException
from fastapi.middleware.csrf import CsrfProtectapp = FastAPI()@app.post("/protected")
def protected_form(csrf_token: str = Form(...), csrf: CsrfProtect = Depends(CsrfProtect)):"""使用 CSRF Token 验证表单"""if not csrf.validate_csrf(csrf_token):raise HTTPException(status_code=403, detail="CSRF Token 验证失败")return {"message": "表单提交成功"}

通过启用 CSRF Token 验证,可以有效防止恶意跨站请求。


🔒 2. 使用 HTTPS 保证数据传输安全

HTTPS 是 Web 应用安全的基石,能够通过加密通信防止数据在传输过程中被窃取或篡改。以下是使用 HTTPS 的具体策略:

1. 配置 HTTPS 证书
  • 使用认证机构(CA)签发的 SSL/TLS 证书。
  • 利用 Let’s Encrypt 免费获取证书。
2. 强制 HTTPS

服务器配置应强制重定向所有 HTTP 请求至 HTTPS,以确保所有通信均通过加密传输。

3. 禁用旧协议

禁用 SSL 2.0、SSL 3.0 以及早期的 TLS 协议版本,仅支持 TLS 1.2 及以上版本。

代码示例:启用 HTTPS

以下是通过 Uvicorn 启用 HTTPS 的示例:

uvicorn app:app --host 0.0.0.0 --port 443 --ssl-keyfile=path/to/key.pem --ssl-certfile=path/to/cert.pem

通过指定 SSL 证书和密钥,Uvicorn 可以在生产环境中提供 HTTPS 服务。


⚙️ 3. 依赖更新与漏洞修复的安全管理策略

依赖管理是确保 Web 应用长期安全的重要环节。未及时更新的依赖库可能会导致安全漏洞暴露。

1. 定期更新依赖

通过工具(如 pip-toolspoetry)定期检查依赖项的版本,并升级到包含安全修复的最新版本。

2. 使用安全审计工具
  • Dependabot
    自动检测依赖中的漏洞,并生成安全补丁。
  • Bandit
    静态代码分析工具,用于检测 Python 代码中的安全问题。
3. 删除无用依赖

冗余依赖可能引入额外的安全隐患,应定期检查并移除未使用的库。

代码示例:依赖检查

以下示例展示了使用 pip-audit 检查依赖漏洞:

pip install pip-audit
pip-audit

工具会输出存在漏洞的依赖及修复建议。

代码示例:使用 Dependabot

以下是 GitHub Dependabot 的配置示例:

version: 2
updates:- package-ecosystem: "pip"directory: "/"schedule:interval: "weekly"

通过上述配置,可以自动化依赖检查和安全更新。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com