FastAPI Sicherheit: CORS und Sicherheits-Header für robuste APIs

In der heutigen vernetzten digitalen Landschaft ist die Absicherung Ihrer APIs von größter Bedeutung. FastAPI, ein modernes, leistungsstarkes Webframework zum Erstellen von APIs mit Python, bietet hervorragende Werkzeuge und Funktionen zur Implementierung robuster Sicherheitsmaßnahmen. Dieser umfassende Leitfaden befasst sich mit zwei kritischen Aspekten der FastAPI-Sicherheit: Cross-Origin Resource Sharing (CORS) und Sicherheits-Headern. Durch das Verständnis und die Implementierung dieser Techniken können Sie den Schutz Ihrer API vor gängigen Web-Schwachstellen erheblich verbessern.

Verständnis von CORS (Cross-Origin Resource Sharing)

CORS ist ein Browser-Sicherheitsmechanismus, der Webseiten einschränkt, Anfragen an eine andere Domäne als die, von der die Webseite bereitgestellt wurde, zu stellen. Diese Richtlinie dient dazu, bösartige Websites daran zu hindern, ohne ordnungsgemäße Autorisierung auf sensible Daten von anderen Websites zuzugreifen. Ohne CORS könnte eine betrügerische Website potenziell unerlaubte Anfragen an Ihre API im Namen eines angemeldeten Benutzers senden, was zu Datenlecks oder anderen Sicherheitslücken führen könnte.

Warum ist CORS notwendig?

Stellen Sie sich ein Szenario vor, in dem ein Benutzer in seinem Online-Banking-Konto angemeldet ist. Gleichzeitig besucht er eine bösartige Website. Ohne CORS könnte die bösartige Website potenziell JavaScript-Code ausführen, der Anfragen an die Banken-API des Benutzers sendet und so Gelder auf das Konto des Angreifers überweist. CORS verhindert dies, indem es standardmäßig eine Same-Origin-Policy erzwingt.

Wie CORS funktioniert

Wenn ein Browser eine Cross-Origin-Anfrage (eine Anfrage an eine andere Herkunft als die aktuelle Seite) stellt, führt er zunächst eine „Preflight“-Anfrage mit der HTTP-Methode OPTIONS durch. Diese Preflight-Anfrage prüft beim Server, ob die eigentliche Anfrage zulässig ist. Der Server antwortet mit Headern, die angeben, welche Herkünfte, Methoden und Header zulässig sind. Wenn der Browser basierend auf der Antwort des Servers feststellt, dass die Anfrage zulässig ist, wird die eigentliche Anfrage fortgesetzt. Andernfalls wird die Anfrage blockiert.

Die „Origin“ wird durch das Protokoll (z. B. HTTP oder HTTPS), die Domäne (z. B. example.com) und den Port (z. B. 80 oder 443) definiert. Zwei URLs gelten nur dann als von gleicher Herkunft, wenn alle drei dieser Komponenten exakt übereinstimmen.

Konfiguration von CORS in FastAPI

FastAPI vereinfacht den Prozess der Konfiguration von CORS mithilfe des CORSMiddleware. Sie können diese Middleware zu Ihrer FastAPI-Anwendung hinzufügen, um CORS zu aktivieren und die zulässigen Herkünfte, Methoden und Header anzugeben.

Hier ist ein einfaches Beispiel, wie CORS in FastAPI aktiviert wird:

            
from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost",
    "http://localhost:8080",
    "https://example.com",
    "https://*.example.com",  # Erlaubt alle Subdomains von example.com
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}

            

              
                Copy
              
            
          

In diesem Beispiel:

• allow_origins: Gibt eine Liste von Herkünften an, die Cross-Origin-Anfragen stellen dürfen. Die Verwendung von ["*"] erlaubt alle Herkünfte, was für Produktionsumgebungen generell nicht empfohlen wird. Geben Sie stattdessen die genauen Herkünfte an, die zulässig sein sollen.
• allow_credentials: Gibt an, ob Anmeldeinformationen (z. B. Cookies, Autorisierungsheader) in Cross-Origin-Anfragen enthalten sein dürfen. Wenn dieser Wert auf True gesetzt ist, muss der Header Access-Control-Allow-Origin auf eine bestimmte Herkunft und nicht auf * gesetzt sein.
• allow_methods: Gibt eine Liste von HTTP-Methoden an, die für Cross-Origin-Anfragen zulässig sind. Die Verwendung von ["*"] erlaubt alle Methoden. Sie können dies für mehr Sicherheit auf bestimmte Methoden wie ["GET", "POST", "PUT", "DELETE"] beschränken.
• allow_headers: Gibt eine Liste von HTTP-Headern an, die in Cross-Origin-Anfragen zulässig sind. Die Verwendung von ["*"] erlaubt alle Header. Erwägen Sie, dies zur Verbesserung der Sicherheit nur auf die für Ihre Anwendung erforderlichen Header zu beschränken.

Best Practices für die CORS-Konfiguration

• Vermeiden Sie die Verwendung von ["*"] für allow_origins in der Produktion: Dies öffnet Ihre API für Anfragen von beliebigen Herkünften, was ein Sicherheitsrisiko darstellen kann. Listen Sie stattdessen explizit die zulässigen Herkünfte auf.
• Seien Sie spezifisch bei zulässigen Methoden und Headern: Erlauben Sie nur die Methoden und Header, die Ihre Anwendung tatsächlich benötigt.
• Verstehen Sie die Auswirkungen von allow_credentials: Wenn Sie Anmeldeinformationen zulassen, stellen Sie sicher, dass Sie die Sicherheitsauswirkungen verstehen und Ihren Server entsprechend konfigurieren.
• Überprüfen Sie Ihre CORS-Konfiguration regelmäßig: Mit der Weiterentwicklung Ihrer Anwendung muss Ihre CORS-Konfiguration möglicherweise aktualisiert werden, um Änderungen an Ihren zulässigen Herkünften, Methoden oder Headern widerzuspiegeln.

Implementierung von Sicherheits-Headern

Sicherheits-Header sind HTTP-Antwort-Header, die dem Browser Anweisungen geben, wie er bei der Verarbeitung Ihrer Website oder API zu agieren hat. Sie helfen, verschiedene Web-Schwachstellen wie Cross-Site Scripting (XSS), Clickjacking und andere Angriffe zu mindern. Das korrekte Setzen dieser Header ist entscheidend für den Schutz Ihrer FastAPI-Anwendung.

Gängige Sicherheits-Header und ihre Bedeutung

• Content-Security-Policy (CSP): Dieser Header ist ein mächtiges Werkzeug zur Verhinderung von XSS-Angriffen. Er ermöglicht es Ihnen, eine Whitelist von Quellen zu definieren, von denen der Browser Ressourcen wie Skripte, Stylesheets und Bilder laden darf.
• X-Frame-Options: Dieser Header schützt vor Clickjacking-Angriffen, indem er verhindert, dass Ihre Website in einem Frame auf einer anderen Website eingebettet wird.
• Strict-Transport-Security (HSTS): Dieser Header zwingt den Browser, beim Zugriff auf Ihre Website immer HTTPS zu verwenden und verhindert so Man-in-the-Middle-Angriffe.
• X-Content-Type-Options: Dieser Header verhindert, dass der Browser Dateien als einen anderen MIME-Typ interpretiert, als im Content-Type-Header deklariert, und mindert so MIME-Sniffing-Schwachstellen.
• Referrer-Policy: Dieser Header steuert, wie viele Referrer-Informationen (die URL der vorherigen Seite) mit Anfragen gesendet werden.
• Permissions-Policy (ehemals Feature-Policy): Dieser Header ermöglicht es Ihnen, zu steuern, welche Browserfunktionen (z. B. Kamera, Mikrofon, Geolokalisierung) auf Ihrer Website verwendet werden dürfen.

Festlegen von Sicherheits-Headern in FastAPI

Obwohl FastAPI keine integrierte Middleware speziell für das Setzen von Sicherheits-Headern hat, können Sie dies einfach mithilfe einer benutzerdefinierten Middleware oder einer Drittanbieterbibliothek wie starlette-security erreichen oder Header direkt in Ihren Antworten setzen.

Beispiel mit benutzerdefinierter Middleware:

            
from fastapi import FastAPI, Request, Response
from starlette.middleware import Middleware
from starlette.responses import JSONResponse

app = FastAPI()

async def add_security_headers(request: Request, call_next):
    response: Response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; object-src 'none'; media-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content;"
    response.headers["X-Frame-Options"] = "DENY"
    response.headers["X-Content-Type-Options"] = "nosniff"
    response.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains; preload"
    response.headers["Permissions-Policy"] = "geolocation=(), camera=(), microphone=()"
    return response


app.middleware("http")(add_security_headers)


@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}


            

              
                Copy
              
            
          

In diesem Beispiel wird die Middleware add_security_headers zur FastAPI-Anwendung hinzugefügt. Diese Middleware fängt jede Anfrage ab und fügt der Antwort die angegebenen Sicherheits-Header hinzu. Lassen Sie uns die Header aufschlüsseln:

• Content-Security-Policy: Dies ist ein komplexer Header, der die zulässigen Quellen für verschiedene Ressourcentypen definiert. In diesem Beispiel erlaubt er Ressourcen von der gleichen Herkunft ('self'), Inline-Skripte und -Stile ('unsafe-inline' – mit Vorsicht verwenden), Data-URIs für Bilder (data:) und verbietet Objektelemente (object-src 'none'). Er setzt auch frame-ancestors 'none', um Clickjacking zu verhindern. upgrade-insecure-requests weist den Browser an, alle unsicheren (HTTP) URLs auf HTTPS zu aktualisieren. block-all-mixed-content verhindert, dass der Browser gemischte Inhalte (HTTP-Inhalte auf einer HTTPS-Seite) lädt. Es ist entscheidend, diesen Header an die spezifischen Bedürfnisse Ihrer Anwendung anzupassen. Falsche CSP-Konfigurationen können Ihre Website unbrauchbar machen.
• X-Frame-Options: Auf DENY gesetzt, um zu verhindern, dass die Seite von einer beliebigen Domäne in einen Frame eingefügt wird. Alternativ erlaubt SAMEORIGIN das Einbetten nur durch die gleiche Domäne.
• X-Content-Type-Options: Auf nosniff gesetzt, um MIME-Sniffing zu verhindern.
• Referrer-Policy: Auf strict-origin-when-cross-origin gesetzt, um die Herkunft (Protokoll + Host) als Referrer zu senden, wenn zu einer anderen Herkunft navigiert wird, und keinen Referrer, wenn zur gleichen Herkunft navigiert wird.
• Strict-Transport-Security: Legt eine Richtlinie fest, die den Browser zwingt, HTTPS für einen bestimmten Zeitraum (max-age) zu verwenden. includeSubDomains stellt sicher, dass auch alle Subdomains durch HTTPS geschützt sind. preload ermöglicht die Aufnahme der Domäne in die HSTS-Preload-Liste, die in Browsern integriert ist. Beachten Sie, dass die Verwendung von preload voraussetzt, dass Ihre Website bei der HSTS-Preload-Liste eingereicht und akzeptiert wurde.
• Permissions-Policy: Gibt an, welche Funktionen (z. B. Geolokalisierung, Kamera, Mikrofon) im Browser verwendet werden dürfen. In diesem Beispiel sind alle deaktiviert.

Wichtige Überlegungen zu Sicherheits-Headern:

• Konfigurieren Sie Content-Security-Policy sorgfältig: Dies ist der komplexeste Sicherheits-Header, und es ist entscheidend, ihn korrekt zu konfigurieren, um ein Brechen Ihrer Website zu vermeiden. Verwenden Sie einen CSP-Generator oder -Validator, um Ihnen bei der Erstellung einer sicheren und effektiven Richtlinie zu helfen.
• Testen Sie Ihre Sicherheits-Header: Verwenden Sie Online-Tools wie SecurityHeaders.com, um die Sicherheits-Header Ihrer Website zu testen und potenzielle Probleme zu identifizieren.
• Überwachen Sie Ihre Sicherheits-Header: Überwachen Sie Ihre Sicherheits-Header regelmäßig, um sicherzustellen, dass sie weiterhin wirksam sind und keine Änderungen erforderlich sind.
• Erwägen Sie die Verwendung eines Content Delivery Networks (CDN): Viele CDNs bieten integrierte Funktionen zur Verwaltung von Sicherheits-Headern, die den Prozess des Festlegens und Pflegens Ihrer Sicherheits-Header vereinfachen können.

Jenseits von CORS und Sicherheits-Headern

Obwohl CORS und Sicherheits-Header für die API-Sicherheit unerlässlich sind, sind sie nicht die einzigen Maßnahmen, die Sie ergreifen sollten. Andere wichtige Sicherheitsaspekte sind:

• Authentifizierung und Autorisierung: Implementieren Sie robuste Authentifizierungs- und Autorisierungsmechanismen, um sicherzustellen, dass nur autorisierte Benutzer auf Ihre API zugreifen können. Erwägen Sie die Verwendung von OAuth 2.0 oder JWT (JSON Web Tokens) für die Authentifizierung.
• Eingabevalidierung: Validieren Sie alle Benutzereingaben, um Injection-Angriffe (z. B. SQL-Injection, XSS) zu verhindern.
• Ratenbegrenzung: Implementieren Sie Ratenbegrenzung, um Denial-of-Service (DoS)-Angriffe zu verhindern.
• Protokollierung und Überwachung: Protokollieren Sie alle API-Anfragen und überwachen Sie Ihre API auf verdächtige Aktivitäten.
• Regelmäßige Sicherheitsaudits: Führen Sie regelmäßige Sicherheitsaudits durch, um potenzielle Schwachstellen zu identifizieren und zu beheben.
• Abhängigkeiten auf dem neuesten Stand halten: Aktualisieren Sie regelmäßig Ihre FastAPI-Version und alle ihre Abhängigkeiten, um Sicherheitslücken zu schließen.

Fazit

Die Absicherung Ihrer FastAPI-APIs erfordert einen vielschichtigen Ansatz. Durch die korrekte Implementierung von CORS und das Setzen geeigneter Sicherheits-Header können Sie das Risiko verschiedener Web-Schwachstellen erheblich reduzieren. Denken Sie daran, Ihre Sicherheitskonfiguration regelmäßig zu überprüfen und zu aktualisieren, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Die Annahme einer umfassenden Sicherheitsstrategie, einschließlich Authentifizierung, Eingabevalidierung, Ratenbegrenzung und Überwachung, ist entscheidend für die Erstellung robuster und sicherer APIs, die Ihre Benutzer und Ihre Daten schützen. Die Implementierung dieser Maßnahmen, obwohl potenziell komplex, ist eine notwendige Investition, um die langfristige Sicherheit und Stabilität Ihrer Anwendungen in der heutigen Bedrohungslandschaft zu gewährleisten.