FastAPI Sikkerhed: CORS og Sikkerhedsheadere for Robuste API'er

I dagens forbundne digitale landskab er det altafgørende at sikre dine API'er. FastAPI, et moderne, højtydende webframework til at bygge API'er med Python, tilbyder fremragende værktøjer og funktioner til at implementere robuste sikkerhedsforanstaltninger. Denne omfattende guide dykker ned i to kritiske aspekter af FastAPI-sikkerhed: Cross-Origin Resource Sharing (CORS) og sikkerhedsheadere. Ved at forstå og implementere disse teknikker kan du markant forbedre beskyttelsen af din API mod almindelige web-sårbarheder.

Forståelse af CORS (Cross-Origin Resource Sharing)

CORS er en browser-sikkerhedsmekanisme, der begrænser websider fra at foretage forespørgsler til et andet domæne end det, der leverede websiden. Denne politik er på plads for at forhindre ondsindede hjemmesider i at få adgang til følsomme data fra andre hjemmesider uden korrekt autorisation. Uden CORS kunne en ondsindet hjemmeside potentielt udføre JavaScript-kode, der sender forespørgsler til din API på vegne af en logget bruger, hvilket fører til databrud eller andre sikkerhedsudnyttelser.

Hvorfor er CORS Nødvendigt?

Forestil dig et scenarie, hvor en bruger er logget ind på deres online bankkonto. Samtidig besøger de en ondsindet hjemmeside. Uden CORS kunne den ondsindede hjemmeside potentielt udføre JavaScript-kode, der sender forespørgsler til brugerens bank API, og overfører midler til angriberens konto. CORS forhindrer dette ved som standard at håndhæve en same-origin policy.

Sådan Fungerer CORS

Når en browser foretager en cross-origin forespørgsel (en forespørgsel til en anden origin end den aktuelle side), foretager den først en "preflight" forespørgsel ved hjælp af HTTP OPTIONS-metoden. Denne preflight forespørgsel tjekker med serveren for at afgøre, om den faktiske forespørgsel er tilladt. Serveren svarer med headere, der angiver, hvilke origins, metoder og headere der er tilladt. Hvis browseren afgør, at forespørgslen er tilladt baseret på serverens svar, fortsætter den med den faktiske forespørgsel. Ellers blokeres forespørgslen.

"Origin" defineres af protokollen (f.eks. HTTP eller HTTPS), domænet (f.eks. example.com) og porten (f.eks. 80 eller 443). To URL'er betragtes som værende af samme origin, kun hvis alle tre af disse komponenter matcher præcist.

Konfiguration af CORS i FastAPI

FastAPI forenkler processen med at konfigurere CORS ved hjælp af CORSMiddleware. Du kan tilføje denne middleware til din FastAPI-applikation for at aktivere CORS og specificere de tilladte origins, metoder og headere.

Her er et grundlæggende eksempel på, hvordan man aktiverer CORS i FastAPI:

            
fra fastapi import FastAPI
fra fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost",
    "http://localhost:8080",
    "https://example.com",
    "https://*.example.com",  # Tillad alle underdomæner af example.com
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}

            

              
                Copy
              
            
          

I dette eksempel:

• allow_origins: Angiver en liste over origins, der har tilladelse til at foretage cross-origin forespørgsler. Brug af ["*"] tillader alle origins, hvilket generelt ikke anbefales til produktionsmiljøer. Angiv i stedet de eksakte origins, der skal tillades.
• allow_credentials: Angiver, om der må tillades credentials (f.eks. cookies, autorisationsheadere) at blive inkluderet i cross-origin forespørgsler. Indstilling af dette til True kræver, at Access-Control-Allow-Origin headeren er indstillet til en specifik origin, ikke *.
• allow_methods: Angiver en liste over HTTP-metoder, der er tilladt for cross-origin forespørgsler. Brug af ["*"] tillader alle metoder. Du kan begrænse dette til specifikke metoder som ["GET", "POST", "PUT", "DELETE"] for større sikkerhed.
• allow_headers: Angiver en liste over HTTP-headere, der er tilladt i cross-origin forespørgsler. Brug af ["*"] tillader alle headere. Overvej at begrænse dette til kun de nødvendige headere for forbedret sikkerhed.

Bedste Praksis for CORS Konfiguration

• Undgå at bruge ["*"] for allow_origins i produktion: Dette åbner din API for forespørgsler fra enhver origin, hvilket kan være en sikkerhedsrisiko. Angiv i stedet eksplicit de tilladte origins.
• Vær specifik med tilladte metoder og headere: Tillad kun de metoder og headere, der faktisk er nødvendige for din applikation.
• Forstå konsekvenserne af allow_credentials: Hvis du tillader credentials, skal du sørge for at forstå sikkerhedsmæssige implikationer og konfigurere din server korrekt.
• Gennemgå regelmæssigt din CORS-konfiguration: Når din applikation udvikler sig, kan din CORS-konfiguration muligvis opdateres for at afspejle ændringer i dine tilladte origins, metoder eller headere.

Implementering af Sikkerhedsheadere

Sikkerhedsheadere er HTTP-svarsheadere, der giver browseren instruktioner om, hvordan den skal opføre sig, når den håndterer dit websted eller din API. De hjælper med at afbøde forskellige web-sårbarheder, såsom Cross-Site Scripting (XSS), Clickjacking og andre angreb. Korrekt indstilling af disse headere er afgørende for at beskytte din FastAPI-applikation.

Almindelige Sikkerhedsheadere og Deres Betydning

• Content-Security-Policy (CSP): Denne header er et kraftfuldt værktøj til at forhindre XSS-angreb. Den giver dig mulighed for at definere en tilladelsesliste over kilder, hvorfra browseren må indlæse ressourcer som scripts, stylesheets og billeder.
• X-Frame-Options: Denne header beskytter mod Clickjacking-angreb ved at forhindre, at dit websted indlejres i en frame på en anden hjemmeside.
• Strict-Transport-Security (HSTS): Denne header tvinger browseren til altid at bruge HTTPS, når den tilgår dit websted, hvilket forhindrer man-in-the-middle-angreb.
• X-Content-Type-Options: Denne header forhindrer browseren i at fortolke filer som en anden MIME-type end den, der er deklareret i Content-Type headeren, hvilket afbøder MIME-sniffing-sårbarheder.
• Referrer-Policy: Denne header styrer, hvor meget referrer-information (URL'en på den forrige side) der sendes med forespørgsler.
• Permissions-Policy (tidligere Feature-Policy): Denne header giver dig mulighed for at kontrollere, hvilke browserfunktioner (f.eks. kamera, mikrofon, geolokation) der må bruges på dit websted.

Indstilling af Sikkerhedsheadere i FastAPI

Selvom FastAPI ikke har indbygget middleware specifikt til at indstille sikkerhedsheadere, kan du nemt opnå dette ved at bruge brugerdefineret middleware eller et tredjepartbibliotek som starlette-security eller ved direkte at indstille headere i dine svar.

Eksempel med brugerdefineret middleware:

            
fra fastapi import FastAPI, Request, Response
fra starlette.middleware import Middleware
fra starlette.responses import JSONResponse

app = FastAPI()

async def add_security_headers(request: Request, call_next):
    response: Response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; object-src 'none'; media-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content;"
    response.headers["X-Frame-Options"] = "DENY"
    response.headers["X-Content-Type-Options"] = "nosniff"
    response.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains; preload"
    response.headers["Permissions-Policy"] = "geolocation=(), camera=(), microphone=()"
    return response


app.middleware("http")(add_security_headers)


@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}


            

              
                Copy
              
            
          

I dette eksempel tilføjes add_security_headers middlewaren til FastAPI-applikationen. Denne middleware aflytter hver forespørgsel og tilføjer de specificerede sikkerhedsheadere til svaret. Lad os bryde headerne ned:

• Content-Security-Policy: Dette er en kompleks header, der definerer de tilladte kilder til forskellige ressourcetyper. I dette eksempel tillader den ressourcer fra samme origin ('self'), inline scripts og styles ('unsafe-inline' - brug med forsigtighed), data-URI'er til billeder (data:) og forbyder objekt-elementer (object-src 'none'). Den sætter også frame-ancestors 'none' for at forhindre clickjacking. upgrade-insecure-requests fortæller browseren at opgradere alle usikre (HTTP) URL'er til HTTPS. block-all-mixed-content forhindrer browseren i at indlæse blandet indhold (HTTP-indhold på en HTTPS-side). Det er afgørende at tilpasse denne header, så den passer til din specifikke applikations behov. Forkerte CSP-konfigurationer kan bryde dit websted.
• X-Frame-Options: Indstillet til DENY for at forhindre siden i at blive indrammet af et hvilket som helst domæne. Alternativt tillader SAMEORIGIN indramning kun af samme domæne.
• X-Content-Type-Options: Indstillet til nosniff for at forhindre MIME-sniffing.
• Referrer-Policy: Indstillet til strict-origin-when-cross-origin for at sende origin (protokol + vært) som referrer ved navigation til en anden origin og ingen referrer ved navigation til samme origin.
• Strict-Transport-Security: Indstiller en politik, der tvinger browseren til at bruge HTTPS i en specificeret periode (max-age). includeSubDomains sikrer, at alle underdomæner også er beskyttet af HTTPS. preload tillader, at domænet inkluderes i HSTS preload-listen, som er indbygget i browsere. Bemærk, at brug af preload kræver, at dit websted er blevet indsendt til, og accepteret af, HSTS preload-listen.
• Permissions-Policy: Angiver, hvilke funktioner (f.eks. geolokation, kamera, mikrofon) der må bruges i browseren. I dette eksempel er alle deaktiveret.

Vigtige Overvejelser for Sikkerhedsheadere:

• Tilpas Content-Security-Policy omhyggeligt: Dette er den mest komplekse sikkerhedsheader, og det er afgørende at konfigurere den korrekt for at undgå at bryde dit websted. Brug en CSP-generator eller validator til at hjælpe dig med at oprette en sikker og effektiv politik.
• Test dine sikkerhedsheadere: Brug onlineværktøjer som SecurityHeaders.com til at teste dit websteds sikkerhedsheadere og identificere potentielle problemer.
• Overvåg dine sikkerhedsheadere: Overvåg regelmæssigt dine sikkerhedsheadere for at sikre, at de stadig er effektive, og at der ikke er behov for ændringer.
• Overvej at bruge et Content Delivery Network (CDN): Mange CDN'er tilbyder indbygget administration af sikkerhedsheadere, hvilket kan forenkle processen med at indstille og vedligeholde dine sikkerhedsheadere.

Udover CORS og Sikkerhedsheadere

Selvom CORS og sikkerhedsheadere er essentielle for API-sikkerhed, er de ikke de eneste foranstaltninger, du bør tage. Andre vigtige sikkerhedsovervejelser inkluderer:

• Autentifikation og Autorisation: Implementer robuste autentifikations- og autorisationsmekanismer for at sikre, at kun autoriserede brugere kan tilgå din API. Overvej at bruge OAuth 2.0 eller JWT (JSON Web Tokens) til autentifikation.
• Inputvalidering: Valider al brugerinput for at forhindre injektionsangreb (f.eks. SQL injection, XSS).
• Ratelimitering: Implementer ratelimitering for at forhindre denial-of-service (DoS) angreb.
• Logning og Overvågning: Log alle API-forespørgsler og overvåg din API for mistænkelig aktivitet.
• Regelmæssige Sikkerhedsaudits: Gennemfør regelmæssige sikkerhedsaudits for at identificere og adressere eventuelle potentielle sårbarheder.
• Hold Afhængigheder Opdateret: Opdater regelmæssigt din FastAPI-version og alle dens afhængigheder for at patche sikkerhedssårbarheder.

Konklusion

Sikring af dine FastAPI API'er kræver en mangefacetteret tilgang. Ved at implementere CORS korrekt og indstille passende sikkerhedsheadere kan du markant reducere risikoen for forskellige web-sårbarheder. Husk at regelmæssigt gennemgå og opdatere din sikkerhedskonfiguration for at holde trit med udviklende trusler. At omfavne en omfattende sikkerhedsstrategi, herunder autentifikation, inputvalidering, ratelimitering og overvågning, er afgørende for at bygge robuste og sikre API'er, der beskytter dine brugere og dine data. Implementering af disse foranstaltninger, selvom det potentielt er komplekst, er en nødvendig investering for at sikre den langsigtede sikkerhed og stabilitet af dine applikationer i det nuværende trusselslandskab.