FastAPI Turvalisus: CORS ja turbe päised robustsete API-de jaoks

Tänapäeva omavahel ühendatud digimaastikul on oma API-de turvalisus esmatähtis. FastAPI, kaasaegne, kõrge jõudlusega veebiraamistik API-de loomiseks Pythoniga, pakub suurepäraseid tööriistu ja funktsioone robustsete turvameetmete rakendamiseks. See põhjalik juhend süveneb kahe kriitilise aspekti FastAPI turvalisuses: Cross-Origin Resource Sharing (CORS) ja turbe päised. Neid tehnikaid mõistes ja rakendades saate oluliselt parandada oma API kaitset levinud veebiohtude eest.

Mõistes CORS-i (Cross-Origin Resource Sharing)

CORS on brauseri turvamehhanism, mis piirab veebilehti, et takistada neil tegemast päringuid teisele domeenile kui see, kust veebileht pärineb. See poliitika on kehtestatud selleks, et takistada pahatahtlikel veebisaitidel ilma nõuetekohase loata juurdepääsu tundlikule andmetele teistelt veebisaitidelt. Ilma CORS-ita võiks kahjulik veebisait potentsiaalselt teha volitamata päringuid teie API-sse sisselogitud kasutaja nimel, mis viib andmete lekkimiseni või muude turvalisusrikkumisteni.

Miks CORS on vajalik?

Kujutage ette stsenaariumi, kus kasutaja on sisse logitud oma internetipanga kontole. Samal ajal külastab ta pahatahtlikku veebisaiti. Ilma CORS-ita võiks pahatahtlik veebisait potentsiaalselt täita JavaScript-koodi, mis saadab päringuid kasutaja pangandus-API-sse, kandes raha üle ründaja kontole. CORS takistab seda, kehtestades vaikimisi sama-päritolu poliitika.

Kuidas CORS töötab

Kui brauser teeb cross-origin päringu (päring teisele domeenile kui praegune leht), teeb ta esmalt "preflight" päringu HTTP OPTIONS meetodil. See preflight päring kontrollib serveriga, et teha kindlaks, kas tegelik päring on lubatud. Server vastab päistega, mis näitavad, millised domeenid, meetodid ja päised on lubatud. Kui brauser otsustab, et päring on lubatud serveri vastuse põhjal, jätkab ta tegeliku päringuga. Vastasel juhul päring blokeeritakse.

"Päritolu" määratletakse protokolli (nt HTTP või HTTPS), domeeni (nt example.com) ja pordi (nt 80 või 443) järgi. Kaks URL-i loetakse sama päritolu omavaks ainult siis, kui kõik kolm neist komponentidest ühtivad täpselt.

CORS-i konfigureerimine FastAPI-s

FastAPI lihtsustab CORS-i konfigureerimise protsessi CORSMiddleware abil. Saate selle middleware'i lisada oma FastAPI rakendusse CORS-i lubamiseks ja lubatud domeenide, meetodite ja päiste määramiseks.

Siin on põhi näide CORS-i lubamisest FastAPI-s:

            
from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost",
    "http://localhost:8080",
    "https://example.com",
    "https://*.example.com",  # Lubab kõik example.com alamdomeenid
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"]
    allow_headers=["*"]
)

@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}

            

              
                Copy
              
            
          

Selles näites:

• allow_origins: Määrab lubatud domeenide loendi, mis võivad teha cross-origin päringuid. Kasutades ["*"] lubab kõik domeenid, mis üldiselt ei ole soovitatav tootmiskeskkondades. Selle asemel määrake täpsed lubatud domeenid.
• allow_credentials: Näitab, kas lubada cross-origin päringutesse kaasa arvatud volitused (nt küpsised, autoriseerimispead). Selle seadmine väärtusele True nõuab Access-Control-Allow-Origin päise seadmist konkreetsele domeenile, mitte *.
• allow_methods: Määrab lubatud HTTP meetodite loendi cross-origin päringute jaoks. Kasutades ["*"] lubab kõik meetodid. Turvalisuse suurendamiseks saate seda piirata konkreetsete meetoditega nagu ["GET", "POST", "PUT", "DELETE"].
• allow_headers: Määrab lubatud HTTP päiste loendi cross-origin päringutes. Kasutades ["*"] lubab kõik päised. Turvalisuse suurendamiseks kaaluge piiramist ainult vajalike päistega.

CORS-i konfigureerimise parimad tavad

• Vältige ["*"] kasutamist allow_origins jaoks tootmises: see avab teie API päringutele mis tahes domeenilt, mis võib olla turvarisk. Selle asemel loetlege selgesõnaliselt lubatud domeenid.
• Olge lubatud meetodite ja päiste osas täpne: Luba ainult need meetodid ja päised, mida teie rakendus tegelikult vajab.
• Mõistke allow_credentials tagajärgi: Kui lubate volitusi, veenduge, et mõistate turvalisusega seotud tagajärgi ja konfigureerite oma serveri vastavalt.
• Vaadake regulaarselt oma CORS-i konfiguratsiooni üle: Teie rakenduse arenedes võib teie CORS-i konfiguratsiooni vaja minna värskendamist, et peegeldada muutusi lubatud domeenides, meetodites või päistes.

Turbe päiste rakendamine

Turbe päised on HTTP vastuse päised, mis annavad brauserile juhiseid, kuidas teie veebisaidi või API käsitlemisel käituda. Need aitavad leevendada erinevaid veebiohte, nagu Cross-Site Scripting (XSS), Clickjacking ja muud rünnakud. Nende päiste õige seadistamine on teie FastAPI rakenduse kaitsmiseks ülioluline.

Levinud turbe päised ja nende tähtsus

• Content-Security-Policy (CSP): See päis on võimas tööriist XSS-rünnakute ennetamiseks. See võimaldab teil määrata valge nimekirja allikatest, kust brauser tohib laadida ressursse nagu skriptid, stiilid ja pildid.
• X-Frame-Options: See päis kaitseb Clickjacking-rünnakute eest, takistades teie veebisaidi sisestamist teise veebisaidi raami.
• Strict-Transport-Security (HSTS): See päis sunnib brauserit alati kasutama HTTPS-i teie veebisaidi külastamisel, ennetades man-in-the-middle rünnakuid.
• X-Content-Type-Options: See päis takistab brauseril faile tõlgendamast erineva MIME tüübina kui on deklareeritud Content-Type päises, leevendades MIME sniffingu ohte.
• Referrer-Policy: See päis kontrollib, kui palju viitaja teavet (eelneva lehekülje URL) saadetakse päringutega.
• Permissions-Policy (endine Feature-Policy): See päis võimaldab teil kontrollida, milliseid brauseri funktsioone (nt kaamera, mikrofon, geograafiline asukoht) teie veebisaidil lubatakse kasutada.

Turbe päiste seadistamine FastAPI-s

Kuigi FastAPI-l pole sisseehitatud middleware'i turbe päiste seadistamiseks, saate seda hõlpsalt saavutada kohandatud middleware'i või kolmanda osapoole teegi nagu starlette-security abil või otse päiste seadistamisega oma vastustes.

Näide kohandatud middleware'i kasutamisega:

            
from fastapi import FastAPI, Request, Response
from starlette.middleware import Middleware
from starlette.responses import JSONResponse

app = FastAPI()

async def add_security_headers(request: Request, call_next):
    response: Response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; object-src 'none'; media-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content;"
    response.headers["X-Frame-Options"] = "DENY"
    response.headers["X-Content-Type-Options"] = "nosniff"
    response.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains; preload"
    response.headers["Permissions-Policy"] = "geolocation=(), camera=(), microphone=()"
    return response


app.middleware("http")(add_security_headers)


@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}


            

              
                Copy
              
            
          

Selles näites lisatakse FastAPI rakendusele add_security_headers middleware. See middleware püüab kinni iga päringu ja lisab vastusele määratud turbe päised. Jaotame päised lahti:

• Content-Security-Policy: See on keeruline päis, mis määrab erinevate ressursitüüpide lubatud allikad. Selles näites lubab see ressursse samast domeenist ('self'), sisemisi skripte ja stiile ('unsafe-inline' - kasutada ettevaatlikult), andmete URI-sid piltide jaoks (data:) ja keelab objektielemendid (object-src 'none'). Samuti seadistab see frame-ancestors 'none' clickjacking-i vältimiseks. upgrade-insecure-requests käsib brauseril uuendada kõik ebaturvad (HTTP) URL-id HTTPS-iks. block-all-mixed-content takistab brauseril laadimast segatud sisu (HTTP sisu HTTPS-i lehel). Selle päise kohandamine teie konkreetse rakenduse vajadustele vastavaks on kriitilise tähtsusega. Vale CSP konfiguratsioon võib teie veebisaidi rikkuda.
• X-Frame-Options: Seadistatud väärtusele DENY, et takistada lehe sisestamist mis tahes domeeni poolt. Alternatiivina lubab SAMEORIGIN sisestamist ainult sama domeeni poolt.
• X-Content-Type-Options: Seadistatud väärtusele nosniff, et vältida MIME sniffingu.
• Referrer-Policy: Seadistatud väärtusele strict-origin-when-cross-origin, et saata päritolu (protokoll + host) viitajana teisele domeenile navigeerimisel ja null viitajana samale domeenile navigeerimisel.
• Strict-Transport-Security: Määrab poliitika, mis sunnib brauserit kasutama HTTPS-i määratud aja jooksul (max-age). includeSubDomains tagab, et kõik alamdomeenid on samuti HTTPS-iga kaitstud. preload võimaldab domeeni lisada HSTS eelkoormamise loendisse, mis on brauseritesse sisseehitatud. Pange tähele, et preload kasutamine nõuab, et teie sait oleks esitatud ja vastu võetud HSTS eelkoormamise loendisse.
• Permissions-Policy: Määrab, millised funktsioonid (nt geograafiline asukoht, kaamera, mikrofon) on brauseris lubatud kasutada. Selles näites on kõik keelatud.

Peamised kaalutlused turbe päiste osas:

• Content-Security-Policy kohandage hoolikalt: See on kõige keerulisem turbe päis ja selle õige konfigureerimine on kriitilise tähtsusega, et vältida teie veebisaidi rikkumist. Kasutage turvalise ja tõhusa poliitika loomiseks CSP generaatorit või validaatorit.
• Testige oma turbe päiseid: Kasutage veebisaidi turbe päiste testimiseks ja võimalike probleemide tuvastamiseks veebitööriistu nagu SecurityHeaders.com.
• Jälgige oma turbe päiseid: Jälgige regulaarselt oma turbe päiseid, et veenduda nende jätkuvas tõhususes ja et muudatusi pole vaja.
• Kaaluge sisu edastamise võrgu (CDN) kasutamist: Paljud CDN-id pakuvad sisseehitatud turbe päiste haldamise funktsioone, mis võivad lihtsustada teie turbe päiste seadistamise ja hooldamise protsessi.

Lisaks CORS-ile ja turbe päistele

Kuigi CORS ja turbe päised on API turvalisuse jaoks hädavajalikud, ei ole need ainsad meetmed, mida te peaksite võtma. Muud olulised turvalisuse kaalutlused hõlmavad:

• Autentimine ja volitus: Rakendage robustseid autentimis- ja volitusmehhanisme, et tagada ainult volitatud kasutajatel juurdepääs teie API-le. Autentimiseks kaaluge OAuth 2.0 või JWT (JSON Web Tokens) kasutamist.
• Sisendi valideerimine: Valideerige kogu kasutaja sisend, et vältida sisestusünnakuid (nt SQLi sisestus, XSS).
• Päringute piiramine: Rakendage päringute piiramist, et vältida teenuse keelamise (DoS) rünnakuid.
• Logimine ja jälgimine: Logige kõik API päringud ja jälgige oma API-d kahtlase tegevuse osas.
• Regulaarsed turbe auditid: Viige läbi regulaarsed turbe auditid, et tuvastada ja lahendada kõik võimalikud turvaaugud.
• Hoidke sõltuvused ajakohased: Värskendage regulaarselt oma FastAPI versiooni ja kõiki selle sõltuvusi, et parandada turvaauke.

Järeldus

Oma FastAPI API-de turvamine nõuab mitmekülgset lähenemist. CORS-i õige rakendamise ja sobivate turbe päiste seadistamisega saate oluliselt vähendada erinevate veebiohtude riski. Pidage meeles, et oma turvakonceerimist regulaarselt üle vaadata ja värskendada, et püsida aja jooksul arenevate ohtudega kaasas. Laiahaardelise turvapoliitika omaksvõtmine, sealhulgas autentimine, sisendi valideerimine, päringute piiramine ja jälgimine, on kriitilise tähtsusega robustsete ja turvaliste API-de loomiseks, mis kaitsevad teie kasutajaid ja teie andmeid. Nende meetmete rakendamine, kuigi potentsiaalselt keeruline, on vajalik investeering, et tagada teie rakenduste pikaajaline turvalisus ja stabiilsus tänapäeva ohumaastikul.