Web2py安全性


在前面的章节中,有关于使用各种工具实现web2py的完整信息。开发web2py应用程序的主要关注点包括从用户的角度来看安全性。

web2py的独特功能如下 -

  • 用户可以轻松学习实施。它不需要安装和依赖。

  • 自发布之日起一直保持稳定。

  • web2py是轻量级的,包含用于数据抽象层和模板语言的库。

  • 它在Web服务器网关接口的帮助下工作,Web服务器网关接口充当Web服务器和应用程序之间的通信。

开放Web应用程序安全项目(OWASP)是一个社区,它列出了Web应用程序的安全漏洞。

安全漏洞

关于OWASP,下面讨论与Web应用程序相关的问题以及web2py如何克服它们。

交叉脚本

它也被称为XSS。只要应用程序获取用户提供的数据并将其发送到用户的浏览器而无需编码或验证内容,它就会发生。攻击者使用交叉脚本执行脚本来注入蠕虫和病毒。

通过阻止 View 中的所有呈现变量,web2py有助于防止XSS 。

信息泄露

有时,应用程序会泄漏有关内部工作,隐私和配置的信息。攻击者利用它来破坏敏感数据,这可能会导致严重的攻击。

web2py通过票务系统来防止这种情况发生。它会记录所有错误,并将票证发给错误正在注册的用户。这些错误只能由管理员访问。

破坏的身份验证

帐户凭证通常不受保护。攻击者在密码,认证令牌等方面妥协,窃取用户的身份。

web2py提供了一个管理界面的机制。当客户端不是“本地主机”时,它也会强制使用安全会话。

不安全的通信

有时应用程序无法加密网络流量。有必要管理流量以保护敏感的通信。

web2py提供SSL启用证书来提供通信加密。这也有助于保持敏感的沟通。

URL访问限制

Web应用程序通常通过阻止向某些用户显示链接和URL来保护敏感功能。攻击者可以尝试通过使用一些信息操纵URL来破坏一些敏感数据。

在wb2py中,URL映射到模块和函数,而不是给定的文件。它还包括一个机制,它规定哪些功能是公开的,哪些是保持私有的。这有助于解决问题。