Seguridad en FastAPI: CORS y encabezados de seguridad para APIs robustas

En el panorama digital interconectado de hoy en día, asegurar tus APIs es primordial. FastAPI, un framework web moderno de alto rendimiento para construir APIs con Python, ofrece excelentes herramientas y características para implementar medidas de seguridad robustas. Esta guía completa profundiza en dos aspectos críticos de la seguridad de FastAPI: el Intercambio de Recursos de Origen Cruzado (CORS) y los encabezados de seguridad. Al comprender e implementar estas técnicas, puedes mejorar significativamente la protección de tu API contra vulnerabilidades web comunes.

Comprendiendo CORS (Intercambio de Recursos de Origen Cruzado)

CORS es un mecanismo de seguridad del navegador que restringe que las páginas web realicen solicitudes a un dominio diferente al que sirvió la página web. Esta política está en vigor para evitar que sitios web maliciosos accedan a datos confidenciales de otros sitios web sin la autorización adecuada. Sin CORS, un sitio web fraudulento podría realizar solicitudes no autorizadas a tu API en nombre de un usuario conectado, lo que provocaría filtraciones de datos u otros exploits de seguridad.

¿Por qué es necesario CORS?

Imagina un escenario en el que un usuario ha iniciado sesión en su cuenta bancaria en línea. Simultáneamente, visita un sitio web malicioso. Sin CORS, el sitio web malicioso podría ejecutar código JavaScript que envíe solicitudes a la API bancaria del usuario, transfiriendo fondos a la cuenta del atacante. CORS previene esto al imponer una política del mismo origen de forma predeterminada.

Cómo funciona CORS

Cuando un navegador realiza una solicitud de origen cruzado (una solicitud a un origen diferente al de la página actual), primero realiza una solicitud de "preflight" utilizando el método HTTP OPTIONS. Esta solicitud de preflight verifica con el servidor para determinar si la solicitud real está permitida. El servidor responde con encabezados que indican qué orígenes, métodos y encabezados están permitidos. Si el navegador determina que la solicitud está permitida según la respuesta del servidor, procede con la solicitud real. De lo contrario, la solicitud se bloquea.

El "origen" se define por el protocolo (por ejemplo, HTTP o HTTPS), el dominio (por ejemplo, example.com) y el puerto (por ejemplo, 80 o 443). Se considera que dos URL son del mismo origen solo si los tres componentes coinciden exactamente.

Configurando CORS en FastAPI

FastAPI simplifica el proceso de configuración de CORS utilizando el CORSMiddleware. Puedes agregar este middleware a tu aplicación FastAPI para habilitar CORS y especificar los orígenes, métodos y encabezados permitidos.

Aquí tienes un ejemplo básico de cómo habilitar CORS en FastAPI:

            
from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost",
    "http://localhost:8080",
    "https://example.com",
    "https://*.example.com",  # Allow all subdomains of example.com
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}

            

              
                Copy
              
            
          

En este ejemplo:

• allow_origins: Especifica una lista de orígenes a los que se les permite realizar solicitudes de origen cruzado. Usar ["*"] permite todos los orígenes, lo cual generalmente no se recomienda para entornos de producción. En su lugar, especifica los orígenes exactos que deberían permitirse.
• allow_credentials: Indica si se permiten las credenciales (por ejemplo, cookies, encabezados de autorización) para que se incluyan en las solicitudes de origen cruzado. Establecer esto en True requiere que el encabezado Access-Control-Allow-Origin se establezca en un origen específico, no en *.
• allow_methods: Especifica una lista de métodos HTTP que están permitidos para solicitudes de origen cruzado. Usar ["*"] permite todos los métodos. Puedes restringir esto a métodos específicos como ["GET", "POST", "PUT", "DELETE"] para mayor seguridad.
• allow_headers: Especifica una lista de encabezados HTTP que están permitidos en solicitudes de origen cruzado. Usar ["*"] permite todos los encabezados. Considera restringir esto solo a los encabezados necesarios para una mayor seguridad.

Buenas prácticas para la configuración de CORS

• Evita usar ["*"] para allow_origins en producción: Esto abre tu API a solicitudes de cualquier origen, lo cual puede ser un riesgo de seguridad. En su lugar, enumera explícitamente los orígenes permitidos.
• Sé específico con los métodos y encabezados permitidos: Solo permite los métodos y encabezados que realmente necesita tu aplicación.
• Comprende las implicaciones de allow_credentials: Si estás permitiendo credenciales, asegúrate de comprender las implicaciones de seguridad y configura tu servidor en consecuencia.
• Revisa regularmente tu configuración de CORS: A medida que evoluciona tu aplicación, es posible que sea necesario actualizar tu configuración de CORS para reflejar los cambios en tus orígenes, métodos o encabezados permitidos.

Implementando encabezados de seguridad

Los encabezados de seguridad son encabezados de respuesta HTTP que proporcionan instrucciones al navegador sobre cómo comportarse al manejar tu sitio web o API. Ayudan a mitigar diversas vulnerabilidades web, como las secuencias de comandos entre sitios (XSS), el Clickjacking y otros ataques. Establecer estos encabezados correctamente es crucial para proteger tu aplicación FastAPI.

Encabezados de seguridad comunes y su importancia

• Content-Security-Policy (CSP): Este encabezado es una herramienta poderosa para prevenir ataques XSS. Te permite definir una lista blanca de fuentes desde las cuales el navegador puede cargar recursos como scripts, hojas de estilo e imágenes.
• X-Frame-Options: Este encabezado protege contra ataques de Clickjacking al evitar que tu sitio web se incruste en un marco en otro sitio web.
• Strict-Transport-Security (HSTS): Este encabezado obliga al navegador a usar siempre HTTPS al acceder a tu sitio web, evitando ataques de intermediario.
• X-Content-Type-Options: Este encabezado evita que el navegador interprete los archivos como un tipo MIME diferente al que se declara en el encabezado Content-Type, mitigando las vulnerabilidades de detección de MIME.
• Referrer-Policy: Este encabezado controla cuánta información de referencia (la URL de la página anterior) se envía con las solicitudes.
• Permissions-Policy (anteriormente Feature-Policy): Este encabezado te permite controlar qué características del navegador (por ejemplo, cámara, micrófono, geolocalización) pueden usarse en tu sitio web.

Estableciendo encabezados de seguridad en FastAPI

Si bien FastAPI no tiene un middleware incorporado específicamente para establecer encabezados de seguridad, puedes lograr esto fácilmente usando middleware personalizado o una biblioteca de terceros como starlette-security o estableciendo directamente los encabezados en tus respuestas.

Ejemplo usando middleware personalizado:

            
from fastapi import FastAPI, Request, Response
from starlette.middleware import Middleware
from starlette.responses import JSONResponse

app = FastAPI()

async def add_security_headers(request: Request, call_next):
    response: Response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; object-src 'none'; media-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content;"
    response.headers["X-Frame-Options"] = "DENY"
    response.headers["X-Content-Type-Options"] = "nosniff"
    response.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains; preload"
    response.headers["Permissions-Policy"] = "geolocation=(), camera=(), microphone=()"
    return response


app.middleware("http")(add_security_headers)


@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}


            

              
                Copy
              
            
          

En este ejemplo, el middleware add_security_headers se agrega a la aplicación FastAPI. Este middleware intercepta cada solicitud y agrega los encabezados de seguridad especificados a la respuesta. Analicemos los encabezados:

• Content-Security-Policy: Este es un encabezado complejo que define las fuentes permitidas para varios tipos de recursos. En este ejemplo, permite recursos del mismo origen ('self'), scripts y estilos en línea ('unsafe-inline' - úsalo con precaución), URI de datos para imágenes (data:) y no permite elementos de objeto (object-src 'none'). También establece frame-ancestors 'none' para evitar el clickjacking. upgrade-insecure-requests le dice al navegador que actualice todas las URL no seguras (HTTP) a HTTPS. block-all-mixed-content evita que el navegador cargue contenido mixto (contenido HTTP en una página HTTPS). Es crucial personalizar este encabezado para que coincida con las necesidades específicas de tu aplicación. Las configuraciones incorrectas de CSP pueden dañar tu sitio web.
• X-Frame-Options: Establecido en DENY para evitar que la página sea enmarcada por cualquier dominio. Alternativamente, SAMEORIGIN permite el encuadre solo por el mismo dominio.
• X-Content-Type-Options: Establecido en nosniff para evitar la detección de MIME.
• Referrer-Policy: Establecido en strict-origin-when-cross-origin para enviar el origen (protocolo + host) como el remitente cuando se navega a otro origen, y ningún remitente cuando se navega al mismo origen.
• Strict-Transport-Security: Establece una política que obliga al navegador a usar HTTPS durante una duración especificada (max-age). includeSubDomains garantiza que todos los subdominios también estén protegidos por HTTPS. preload permite que el dominio se incluya en la lista de precarga HSTS, que está integrada en los navegadores. Ten en cuenta que usar preload requiere que tu sitio se haya enviado y haya sido aceptado por la lista de precarga HSTS.
• Permissions-Policy: Especifica qué características (por ejemplo, geolocalización, cámara, micrófono) se pueden usar en el navegador. En este ejemplo, todos están prohibidos.

Consideraciones clave para los encabezados de seguridad:

• Personaliza Content-Security-Policy cuidadosamente: Este es el encabezado de seguridad más complejo, y es crucial configurarlo correctamente para evitar dañar tu sitio web. Usa un generador o validador de CSP para ayudarte a crear una política segura y eficaz.
• Prueba tus encabezados de seguridad: Usa herramientas en línea como SecurityHeaders.com para probar los encabezados de seguridad de tu sitio web e identificar cualquier problema potencial.
• Supervisa tus encabezados de seguridad: Supervisa regularmente tus encabezados de seguridad para asegurarte de que sigan siendo eficaces y que no se necesiten cambios.
• Considera usar una red de entrega de contenido (CDN): Muchas CDN ofrecen funciones integradas de gestión de encabezados de seguridad, lo que puede simplificar el proceso de configuración y mantenimiento de tus encabezados de seguridad.

Más allá de CORS y los encabezados de seguridad

Si bien CORS y los encabezados de seguridad son esenciales para la seguridad de la API, no son las únicas medidas que debes tomar. Otras consideraciones de seguridad importantes incluyen:

• Autenticación y autorización: Implementa mecanismos robustos de autenticación y autorización para garantizar que solo los usuarios autorizados puedan acceder a tu API. Considera usar OAuth 2.0 o JWT (JSON Web Tokens) para la autenticación.
• Validación de entrada: Valida todas las entradas del usuario para evitar ataques de inyección (por ejemplo, inyección SQL, XSS).
• Limitación de velocidad: Implementa la limitación de velocidad para evitar ataques de denegación de servicio (DoS).
• Registro y supervisión: Registra todas las solicitudes de API y supervisa tu API para detectar actividades sospechosas.
• Auditorías de seguridad periódicas: Realiza auditorías de seguridad periódicas para identificar y abordar cualquier vulnerabilidad potencial.
• Mantén las dependencias actualizadas: Actualiza regularmente tu versión de FastAPI y todas sus dependencias para parchear las vulnerabilidades de seguridad.

Conclusión

Asegurar tus APIs de FastAPI requiere un enfoque multifacético. Al implementar CORS correctamente y establecer los encabezados de seguridad adecuados, puedes reducir significativamente el riesgo de diversas vulnerabilidades web. Recuerda revisar y actualizar regularmente tu configuración de seguridad para mantenerte al día con las amenazas en evolución. Adoptar una estrategia de seguridad integral, que incluya autenticación, validación de entrada, limitación de velocidad y supervisión, es crucial para construir APIs robustas y seguras que protejan a tus usuarios y tus datos. La implementación de estas medidas, aunque potencialmente compleja, es una inversión necesaria para garantizar la seguridad y la estabilidad a largo plazo de tus aplicaciones en el panorama de amenazas actual.