Web2py - 安全

  • 简述

    在前面的章节中,有关于使用各种工具实现 web2py 的完整信息。从用户的角度来看,开发 web2py 应用程序的主要关注点包括安全性。
    web2py 的独特功能如下 -
    • 用户可以轻松学习实现。它不需要安装和依赖项。
    • 自上线之日起一直稳定。
    • web2py 是轻量级的,包括数据抽象层和模板语言的库。
    • 它在 Web 服务器网关接口的帮助下工作,该接口充当 Web 服务器和应用程序之间的通信。
    Open web application security project (OWASP) 是一个社区,它列出了 web 应用程序的安全漏洞。
  • 安全漏洞

    关于 OWASP,与 web 应用程序相关的问题以及 web2py 如何克服这些问题将在下面讨论。

    跨端脚本

    它也被称为 XSS。每当应用程序获取用户提供的数据并将其发送到用户的浏览器而不对内容进行编码或验证时,就会发生这种情况。攻击者使用跨端脚本执行脚本以注入蠕虫和病毒。
    web2py 通过阻止View中的所有呈现变量来帮助防止 XSS 。

    信息泄露

    有时,应用程序会泄露有关内部运作、隐私和配置的信息。攻击者利用它来破坏敏感数据,这可能会导致严重的攻击。
    web2py 通过票务系统来防止这种情况。它记录所有错误,并将票证发给正在注册错误的用户。这些错误只能由管理员访问。

    认证失败

    帐户凭据通常不受保护。攻击者破坏密码、身份验证令牌以窃取用户的身份。
    web2py 提供了一种管理接口机制。当客户端不是“本地主机”时,它还会强制使用安全会话。

    不安全的通信

    有时应用程序无法加密网络流量。有必要管理流量以保护敏感通信。
    web2py 提供支持 SSL 的证书来提供通信加密。这也有助于保持敏感的沟通。

    URL 访问限制

    Web 应用程序通常通过阻止向某些用户显示链接和 URL 来保护敏感功能。攻击者可以通过使用某些信息操纵 URL 来尝试破坏某些敏感数据。
    在 wb2py 中,URL 映射到模块和函数而不是给定的文件。它还包括一种机制,该机制指定哪些功能是公共的,哪些是私有的。这有助于解决问题。