- Web2py 教程
- Web2py - 首页
- Web2py - 简介
- Web2py - Python 语言
- Web2py - 框架概述
- Web2py - 核心
- Web2py - 视图
- Web2py - 数据库抽象层
- Web2py - 表单与验证器
- Web2py - 邮件与短信
- Web2py - 访问控制
- Web2py - 服务
- Web2py - 添加 Ajax 效果
- Web2py - 组件
- Web2py - 部署
- Web2py - 安全性
- Web2py 有用资源
- Web2py - 快速指南
- Web2py - 有用资源
- Web2py - 讨论
Web2py - 安全性
在前面的章节中,完整介绍了使用各种工具实现 web2py 的信息。开发 web2py 应用程序的主要关注点包括从用户的角度考虑安全性。
web2py 的独特功能如下:
用户可以轻松学习实现。它无需安装和依赖项。
自发布之日起就一直很稳定。
web2py 轻量级,包含数据抽象层和模板语言库。
它借助 Web 服务器网关接口 (WSGI) 工作,该接口充当 Web 服务器和应用程序之间的通信桥梁。
开放式 Web 应用程序安全项目 (OWASP) 是一个社区,它列出了 Web 应用程序的安全漏洞。
安全漏洞
关于 OWASP,下面讨论了与 Web 应用程序相关的问题以及 web2py 如何克服这些问题。
跨站脚本攻击
它也称为 XSS。每当应用程序获取用户提供的数据并将其发送到用户的浏览器而无需编码或验证内容时,就会发生这种情况。攻击者执行脚本以使用跨站脚本注入蠕虫和病毒。
web2py 通过阻止视图中所有呈现的变量来帮助防止 XSS。
信息泄露
有时,应用程序会泄露有关内部工作、隐私和配置的信息。攻击者利用这一点来窃取敏感数据,这可能导致严重的攻击。
web2py 通过票务系统来防止这种情况。它记录所有错误,并向注册错误的用户发出票证。这些错误只能由管理员访问。
身份验证漏洞
帐户凭据通常不受保护。攻击者会危害密码、身份验证令牌以窃取用户的身份。
web2py 提供了一种管理界面机制。当客户端不是“localhost”时,它还强制使用安全会话。
不安全的通信
有时应用程序无法加密网络流量。必须管理流量以保护敏感通信。
web2py 提供启用 SSL 的证书以提供通信加密。这也有助于维护敏感通信。
URL 访问限制
Web 应用程序通常通过阻止向某些用户显示链接和 URL 来保护敏感功能。攻击者可以通过使用某些信息操纵 URL 来尝试窃取某些敏感数据。
在 wb2py 中,URL 映射到模块和函数,而不是给定的文件。它还包含一种机制,该机制指定哪些函数是公共的,哪些函数是私有的。这有助于解决这个问题。