- Web2py 教程
- Web2py - 首頁
- Web2py - 簡介
- Web2py - Python 語言
- Web2py - 框架概述
- Web2py - 核心
- Web2py - 檢視
- Web2py - 資料庫抽象層
- Web2py - 表單與驗證器
- Web2py - 郵件與簡訊
- Web2py - 訪問控制
- Web2py - 服務
- Web2py - 新增 Ajax 效果
- Web2py - 元件
- Web2py - 部署
- Web2py - 安全性
- Web2py 有用資源
- Web2py - 快速指南
- Web2py - 有用資源
- Web2py - 討論
Web2py - 安全性
在前面的章節中,完整介紹了使用各種工具實現 web2py 的資訊。開發 web2py 應用程式的主要關注點包括從使用者的角度考慮安全性。
web2py 的獨特功能如下:
使用者可以輕鬆學習實現。它無需安裝和依賴項。
自發布之日起就一直很穩定。
web2py 輕量級,包含資料抽象層和模板語言庫。
它藉助 Web 伺服器閘道器介面 (WSGI) 工作,該介面充當 Web 伺服器和應用程式之間的通訊橋樑。
開放式 Web 應用程式安全專案 (OWASP) 是一個社群,它列出了 Web 應用程式的安全漏洞。
安全漏洞
關於 OWASP,下面討論了與 Web 應用程式相關的問題以及 web2py 如何克服這些問題。
跨站指令碼攻擊
它也稱為 XSS。每當應用程式獲取使用者提供的資料並將其傳送到使用者的瀏覽器而無需編碼或驗證內容時,就會發生這種情況。攻擊者執行指令碼以使用跨站指令碼注入蠕蟲和病毒。
web2py 透過阻止檢視中所有呈現的變數來幫助防止 XSS。
資訊洩露
有時,應用程式會洩露有關內部工作、隱私和配置的資訊。攻擊者利用這一點來竊取敏感資料,這可能導致嚴重的攻擊。
web2py 透過票務系統來防止這種情況。它記錄所有錯誤,並向註冊錯誤的使用者發出票證。這些錯誤只能由管理員訪問。
身份驗證漏洞
帳戶憑據通常不受保護。攻擊者會危害密碼、身份驗證令牌以竊取使用者的身份。
web2py 提供了一種管理介面機制。當客戶端不是“localhost”時,它還強制使用安全會話。
不安全的通訊
有時應用程式無法加密網路流量。必須管理流量以保護敏感通訊。
web2py 提供啟用 SSL 的證書以提供通訊加密。這也有助於維護敏感通訊。
URL 訪問限制
Web 應用程式通常透過阻止向某些使用者顯示連結和 URL 來保護敏感功能。攻擊者可以透過使用某些資訊操縱 URL 來嘗試竊取某些敏感資料。
在 wb2py 中,URL 對映到模組和函式,而不是給定的檔案。它還包含一種機制,該機制指定哪些函式是公共的,哪些函式是私有的。這有助於解決這個問題。