FastAPI-suojaus: CORS ja suojausotsikot vahvojen API:en luomiseksi

Nykypäivän verkottuneessa digitaalisessa ympäristössä API:esi suojaaminen on ensiarvoisen tärkeää. FastAPI, moderni, suorituskykyinen verkkokehys API:en rakentamiseen Pythonilla, tarjoaa erinomaisia työkaluja ja ominaisuuksia vankkojen suojaustoimenpiteiden toteuttamiseen. Tämä kattava opas syventyy kahteen kriittiseen FastAPI-suojauksen osa-alueeseen: Cross-Origin Resource Sharing (CORS) ja suojausotsikot. Ymmärtämällä ja toteuttamalla nämä tekniikat voit merkittävästi parantaa API:esi suojausta yleisiä verkkohaavoittuvuuksia vastaan.

CORS:in (Cross-Origin Resource Sharing) ymmärtäminen

CORS on selaimen suojausmekanismi, joka rajoittaa verkkosivuja tekemästä pyyntöjä eri verkkotunnukseen kuin se, josta verkkosivu on peräisin. Tämä käytäntö on käytössä estämään haitallisia verkkosivustoja pääsemästä käsiksi arkaluonteisiin tietoihin muilta verkkosivustoilta ilman asianmukaista valtuutusta. Ilman CORS:ia roistomainen verkkosivusto voisi mahdollisesti tehdä luvattomia pyyntöjä API:illesi sisäänkirjautuneen käyttäjän puolesta, mikä johtaisi tietomurtoihin tai muihin tietoturvahyödyntämisiin.

Miksi CORS on välttämätön?

Kuvittele tilanne, jossa käyttäjä on kirjautunut verkkopankkitililleen. Samanaikaisesti he vierailevat haitallisella verkkosivustolla. Ilman CORS:ia haitallinen verkkosivusto voisi mahdollisesti suorittaa JavaScript-koodia, joka lähettää pyyntöjä käyttäjän pankki-API:lle siirtäen varoja hyökkääjän tilille. CORS estää tämän pakottamalla oletusarvoisesti saman alkuperän käytännön.

Miten CORS toimii

Kun selain tekee cross-origin-pyynnön (pyynnön eri alkuperään kuin nykyinen sivu), se suorittaa ensin "esilentopyynnön" käyttämällä HTTP OPTIONS -menetelmää. Tämä esilentopyyntö tarkistaa palvelimelta, onko varsinainen pyyntö sallittu. Palvelin vastaa otsikoilla, jotka osoittavat, mitkä alkuperät, menetelmät ja otsikot ovat sallittuja. Jos selain toteaa, että pyyntö on sallittu palvelimen vastauksen perusteella, se jatkaa varsinaisen pyynnön kanssa. Muussa tapauksessa pyyntö estetään.

"Alkuperä" määritellään protokollalla (esim. HTTP tai HTTPS), verkkotunnuksella (esim. example.com) ja portilla (esim. 80 tai 443). Kahta URL-osoitetta pidetään samasta alkuperästä olevina vain, jos kaikki kolme näistä osista vastaavat täsmälleen.

CORS:in määrittäminen FastAPI:ssä

FastAPI yksinkertaistaa CORS:in määritysprosessia käyttämällä CORSMiddleware-ohjelmistoa. Voit lisätä tämän väliohjelmiston FastAPI-sovellukseesi ottaaksesi CORS:in käyttöön ja määrittääksesi sallitut alkuperät, menetelmät ja otsikot.

Tässä on perusesimerkki CORS:in käyttöönotosta FastAPI:ssä:

            
from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost",
    "http://localhost:8080",
    "https://example.com",
    "https://*.example.com",  # Salli kaikki example.com-aliverkkotunnukset
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}

            

              
                Copy
              
            
          

Tässä esimerkissä:

• allow_origins: Määrittää luettelon alkuperistä, joilla on lupa tehdä cross-origin-pyyntöjä. Käyttämällä ["*"] sallitaan kaikki alkuperät, mitä ei yleensä suositella tuotantoympäristöihin. Määritä sen sijaan tarkat alkuperät, jotka tulisi sallia.
• allow_credentials: Ilmaisee, sallitaanko tunnistetietojen (esim. evästeet, valtuutusotsikot) sisällyttäminen cross-origin-pyyntöihin. Asettaessa tämä arvoon True, vaaditaan Access-Control-Allow-Origin-otsikon asettaminen tiettyyn alkuperään, ei *.
• allow_methods: Määrittää luettelon HTTP-menetelmistä, jotka ovat sallittuja cross-origin-pyynnöissä. Käyttämällä ["*"] sallitaan kaikki menetelmät. Voit rajoittaa tämän tiettyihin menetelmiin, kuten ["GET", "POST", "PUT", "DELETE"] paremman suojauksen saavuttamiseksi.
• allow_headers: Määrittää luettelon HTTP-otsikoista, jotka ovat sallittuja cross-origin-pyynnöissä. Käyttämällä ["*"] sallitaan kaikki otsikot. Harkitse tämän rajoittamista vain tarvittaviin otsikoihin parannetun suojauksen saavuttamiseksi.

Parhaat käytännöt CORS-määritykselle

• Vältä käyttämästä ["*"] arvolle allow_origins tuotantoympäristössä: Tämä avaa API:si pyynnöille mistä tahansa alkuperästä, mikä voi olla tietoturvariski. Luettele sen sijaan nimenomaisesti sallitut alkuperät.
• Ole tarkka sallittujen menetelmien ja otsikoiden kanssa: Salli vain menetelmät ja otsikot, joita sovelluksesi todella tarvitsee.
• Ymmärrä allow_credentials-asetuksen vaikutukset: Jos sallit tunnistetiedot, varmista, että ymmärrät suojausvaikutukset ja määrität palvelimesi vastaavasti.
• Tarkista CORS-määrityksesi säännöllisesti: Sovelluksesi kehittyessä CORS-määritystäsi voidaan joutua päivittämään vastaamaan muutoksia sallituissa alkuperissä, menetelmissä tai otsikoissa.

Suojausotsikoiden toteuttaminen

Suojausotsikot ovat HTTP-vastausotsikoita, jotka antavat selaimelle ohjeita siitä, miten toimia, kun käsitellään verkkosivustoasi tai API:asi. Ne auttavat lieventämään erilaisia verkkohaavoittuvuuksia, kuten Cross-Site Scripting (XSS), Clickjacking ja muita hyökkäyksiä. Näiden otsikoiden oikein asettaminen on ratkaisevan tärkeää FastAPI-sovelluksesi suojaamiseksi.

Yleiset suojausotsikot ja niiden merkitys

• Content-Security-Policy (CSP): Tämä otsikko on tehokas työkalu XSS-hyökkäysten estämiseen. Sen avulla voit määrittää luettelon lähteistä, joista selain saa ladata resursseja, kuten komentosarjoja, tyylitiedostoja ja kuvia.
• X-Frame-Options: Tämä otsikko suojaa Clickjacking-hyökkäyksiltä estämällä verkkosivustoasi upottamasta kehykseen toisella verkkosivustolla.
• Strict-Transport-Security (HSTS): Tämä otsikko pakottaa selaimen aina käyttämään HTTPS:ää, kun se käyttää verkkosivustoasi, estäen välimieshyökkäykset.
• X-Content-Type-Options: Tämä otsikko estää selainta tulkitsemasta tiedostoja eri MIME-tyypiksi kuin mikä on ilmoitettu Content-Type-otsikossa, mikä lieventää MIME-nuuskinnan haavoittuvuuksia.
• Referrer-Policy: Tämä otsikko ohjaa, kuinka paljon viittaustietoja (edellisen sivun URL-osoite) lähetetään pyyntöjen mukana.
• Permissions-Policy (aiemmin Feature-Policy): Tämä otsikko antaa sinun hallita, mitä selainominaisuuksia (esim. kamera, mikrofoni, maantieteellinen sijainti) saa käyttää verkkosivustollasi.

Suojausotsikoiden asettaminen FastAPI:ssä

Vaikka FastAPI:llä ei ole sisäänrakennettua väliohjelmistoa erityisesti suojausotsikoiden asettamiseen, voit helposti saavuttaa tämän mukautetun väliohjelmiston tai kolmannen osapuolen kirjaston, kuten starlette-security, avulla tai asettamalla otsikot suoraan vastauksiisi.

Esimerkki mukautetun väliohjelmiston avulla:

            
from fastapi import FastAPI, Request, Response
from starlette.middleware import Middleware
from starlette.responses import JSONResponse

app = FastAPI()

async def add_security_headers(request: Request, call_next):
    response: Response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; object-src 'none'; media-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content;"
    response.headers["X-Frame-Options"] = "DENY"
    response.headers["X-Content-Type-Options"] = "nosniff"
    response.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains; preload"
    response.headers["Permissions-Policy"] = "geolocation=(), camera=(), microphone=()"
    return response


app.middleware("http")(add_security_headers)


@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}


            

              
                Copy
              
            
          

Tässä esimerkissä add_security_headers -väliohjelmisto lisätään FastAPI-sovellukseen. Tämä väliohjelmisto sieppaa jokaisen pyynnön ja lisää määritetyt suojausotsikot vastaukseen. Puretaanpa otsikot:

• Content-Security-Policy: Tämä on monimutkainen otsikko, joka määrittää sallitut lähteet eri resurssityypeille. Tässä esimerkissä se sallii resurssit samasta alkuperästä ('self'), inline-komentosarjat ja -tyylit ('unsafe-inline' - käytä varoen), data-URI:t kuville (data:) ja estää objektielementit (object-src 'none'). Se asettaa myös frame-ancestors 'none' estämään clickjackingin. upgrade-insecure-requests kertoo selaimelle päivittämään kaikki suojaamattomat (HTTP) URL-osoitteet HTTPS:ksi. block-all-mixed-content estää selainta lataamasta sekoitettua sisältöä (HTTP-sisältöä HTTPS-sivulla). On ratkaisevan tärkeää mukauttaa tämä otsikko vastaamaan sovelluksesi erityistarpeita. Virheelliset CSP-määritykset voivat rikkoa verkkosivustosi.
• X-Frame-Options: Asetettu arvoon DENY estämään sivun kehystäminen millä tahansa verkkotunnuksella. Vaihtoehtoisesti SAMEORIGIN sallii kehystämisen vain samalla verkkotunnuksella.
• X-Content-Type-Options: Asetettu arvoon nosniff estämään MIME-nuuskinnan.
• Referrer-Policy: Asetettu arvoon strict-origin-when-cross-origin lähettämään alkuperän (protokolla + isäntä) viittaajana navigoitaessa toiseen alkuperään, ja ei viittaajaa navigoitaessa samaan alkuperään.
• Strict-Transport-Security: Asettaa käytännön, joka pakottaa selaimen käyttämään HTTPS:ää määritetyn ajan (max-age). includeSubDomains varmistaa, että kaikki aliverkkotunnukset ovat myös HTTPS:n suojaamia. preload sallii verkkotunnuksen sisällyttämisen HSTS-esilatausluetteloon, joka on sisäänrakennettu selaimiin. Huomaa, että preload-asetuksen käyttäminen edellyttää, että sivustosi on lähetetty ja hyväksytty HSTS-esilatausluetteloon.
• Permissions-Policy: Määrittää, mitä ominaisuuksia (esim. maantieteellinen sijainti, kamera, mikrofoni) saa käyttää selaimessa. Tässä esimerkissä kaikki on estetty.

Tärkeimmät huomioitavat asiat suojausotsikoille:

• Mukauta Content-Security-Policy huolellisesti: Tämä on monimutkaisin suojausotsikko, ja on ratkaisevan tärkeää määrittää se oikein, jotta vältetään verkkosivustosi rikkominen. Käytä CSP-generaattoria tai -validaattoria, joka auttaa sinua luomaan turvallisen ja tehokkaan käytännön.
• Testaa suojausotsikkosi: Käytä online-työkaluja, kuten SecurityHeaders.com, testataksesi verkkosivustosi suojausotsikoita ja tunnistaaksesi mahdolliset ongelmat.
• Seuraa suojausotsikkosi: Seuraa säännöllisesti suojausotsikkosi varmistaaksesi, että ne ovat edelleen tehokkaita ja että muutoksia ei tarvita.
• Harkitse Content Delivery Networkin (CDN) käyttöä: Monet CDN:t tarjoavat sisäänrakennettuja suojausotsikoiden hallintaominaisuuksia, jotka voivat yksinkertaistaa suojausotsikoiden asettamista ja ylläpitoa.

CORS:in ja suojausotsikoiden ulkopuolella

Vaikka CORS ja suojausotsikot ovat olennaisia API-suojaukselle, ne eivät ole ainoat toimenpiteet, jotka sinun pitäisi toteuttaa. Muita tärkeitä suojaukseen liittyviä seikkoja ovat:

• Todennus ja valtuutus: Toteuta vankat todennus- ja valtuutusmekanismit varmistaaksesi, että vain valtuutetut käyttäjät voivat käyttää API:asi. Harkitse OAuth 2.0:n tai JWT:n (JSON Web Tokens) käyttöä todennukseen.
• Syötteen validointi: Validoi kaikki käyttäjän syötteet estääksesi injektiohyökkäykset (esim. SQL-injektio, XSS).
• Nopeuden rajoittaminen: Toteuta nopeuden rajoittaminen estääksesi palvelunestohyökkäykset (DoS).
• Lokien kirjaaminen ja valvonta: Kirjaa kaikki API-pyynnöt ja valvo API:asi epäilyttävän toiminnan varalta.
• Säännölliset suojaustarkastukset: Suorita säännöllisiä suojaustarkastuksia tunnistaaksesi ja käsitelläksesi mahdolliset haavoittuvuudet.
• Pidä riippuvuudet ajan tasalla: Päivitä säännöllisesti FastAPI-versiosi ja kaikki sen riippuvuudet korjataksesi tietoturva-aukkoja.

Johtopäätös

FastAPI-API:esi suojaaminen vaatii monipuolisen lähestymistavan. Toteuttamalla CORS oikein ja asettamalla asianmukaiset suojausotsikot voit merkittävästi vähentää erilaisten verkkohaavoittuvuuksien riskiä. Muista tarkistaa ja päivittää suojausmäärityksesi säännöllisesti pysyäksesi muuttuvien uhkien tahdissa. Kattavan suojausstrategian omaksuminen, mukaan lukien todennus, syötteen validointi, nopeuden rajoittaminen ja valvonta, on ratkaisevan tärkeää vankkojen ja turvallisten API:en rakentamiseksi, jotka suojaavat käyttäjiäsi ja tietojasi. Näiden toimenpiteiden toteuttaminen, vaikka ne saattavat olla monimutkaisia, on välttämätön investointi sovelluksiesi pitkän aikavälin suojauksen ja vakauden varmistamiseksi nykypäivän uhkaympäristössä.