FastAPI אבטחה: CORS וכותרות אבטחה לממשקי API חזקים

בנוף הדיגיטלי המקושר של ימינו, אבטחת ממשקי ה-API שלך היא בעלת חשיבות עליונה. FastAPI, מסגרת אינטרנט מודרנית ובעלת ביצועים גבוהים לבניית ממשקי API עם Python, מציעה כלים ותכונות מצוינים ליישום אמצעי אבטחה חזקים. מדריך מקיף זה מתעמק בשני היבטים קריטיים של אבטחת FastAPI: שיתוף משאבים בין מקורות (CORS) וכותרות אבטחה. על ידי הבנה ויישום של טכניקות אלה, תוכל לשפר משמעותית את ההגנה על ה-API שלך מפני פגיעויות אינטרנט נפוצות.

הבנת CORS (שיתוף משאבים בין מקורות)

CORS הוא מנגנון אבטחה של דפדפן המגביל דפי אינטרנט מלשלוח בקשות לדומיין שונה מזה ששירת את דף האינטרנט. מדיניות זו קיימת כדי למנוע מאתרי אינטרנט זדוניים לגשת לנתונים רגישים מאתרי אינטרנט אחרים ללא אישור מתאים. ללא CORS, אתר אינטרנט סורר עלול לבצע בקשות לא מורשות ל-API שלך בשם משתמש מחובר, מה שיוביל להפרות נתונים או ניצול אבטחה אחר.

מדוע CORS נחוץ?

תארו לעצמכם תרחיש שבו משתמש מחובר לחשבון הבנקאות המקוונת שלו. במקביל, הם מבקרים באתר זדוני. ללא CORS, האתר הזדוני עלול לבצע קוד JavaScript השולח בקשות ל-API הבנקאי של המשתמש, ומעביר כספים לחשבון התוקף. CORS מונע זאת על ידי אכיפת מדיניות של אותו מקור כברירת מחדל.

כיצד CORS עובד

כאשר דפדפן שולח בקשה בין מקורות (בקשה למקור שונה מדף הנוכחי), הוא מבצע תחילה בקשת "טרום טיסה" באמצעות שיטת ה-HTTP OPTIONS. בקשת טרום טיסה זו בודקת עם השרת כדי לקבוע אם הבקשה בפועל מותרת. השרת מגיב עם כותרות המציינות אילו מקורות, שיטות וכותרות מותרים. אם הדפדפן קובע שהבקשה מותרת בהתבסס על תגובת השרת, הוא ממשיך בבקשה בפועל. אחרת, הבקשה נחסמת.

ה"מקור" מוגדר על ידי הפרוטוקול (למשל, HTTP או HTTPS), הדומיין (למשל, example.com) והיציאה (למשל, 80 או 443). שתי כתובות URL נחשבות מאותו מקור רק אם כל שלושת הרכיבים האלה תואמים בדיוק.

הגדרת CORS ב-FastAPI

FastAPI מפשט את תהליך הגדרת CORS באמצעות CORSMiddleware. אתה יכול להוסיף תוכנת ביניים זו ליישום FastAPI שלך כדי להפעיל CORS ולציין את המקורות, השיטות והכותרות המותרים.

הנה דוגמה בסיסית לאופן הפעלת CORS ב-FastAPI:

            
from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost",
    "http://localhost:8080",
    "https://example.com",
    "https://*.example.com",  # Allow all subdomains of example.com
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}

            

              
                Copy
              
            
          

בדוגמה זו:

• allow_origins: מציין רשימה של מקורות המורשים לבצע בקשות בין מקורות. שימוש ב-["*"] מאפשר את כל המקורות, שבדרך כלל לא מומלץ עבור סביבות ייצור. במקום זאת, ציין את המקורות המדויקים שיש להתיר.
• allow_credentials: מציין אם לאפשר אישורים (למשל, קובצי Cookie, כותרות הרשאה) להיכלל בבקשות בין מקורות. הגדרת זה ל-True מחייבת שכותרת ה-Access-Control-Allow-Origin תוגדר למקור ספציפי, ולא ל-*.
• allow_methods: מציין רשימה של שיטות HTTP המותרות עבור בקשות בין מקורות. שימוש ב-["*"] מאפשר את כל השיטות. אתה יכול להגביל זאת לשיטות ספציפיות כמו ["GET", "POST", "PUT", "DELETE"] לאבטחה רבה יותר.
• allow_headers: מציין רשימה של כותרות HTTP המותרות בבקשות בין מקורות. שימוש ב-["*"] מאפשר את כל הכותרות. שקול להגביל זאת רק לכותרות ההכרחיות לאבטחה משופרת.

שיטות מומלצות לתצורת CORS

• הימנע משימוש ב-["*"] עבור allow_origins בייצור: זה פותח את ה-API שלך לבקשות מכל מקור, מה שיכול להיות סיכון אבטחה. במקום זאת, ציין במפורש את רשימת המקורות המורשים.
• היה ספציפי לגבי שיטות וכותרות מותרות: אפשר רק את השיטות והכותרות הנדרשות בפועל על ידי היישום שלך.
• הבן את ההשלכות של allow_credentials: אם אתה מאפשר אישורים, ודא שאתה מבין את ההשלכות האבטחתיות והגדר את השרת שלך בהתאם.
• בדוק באופן קבוע את תצורת ה-CORS שלך: ככל שהיישום שלך מתפתח, ייתכן שיהיה צורך לעדכן את תצורת ה-CORS שלך כדי לשקף שינויים במקורות, בשיטות או בכותרות המותרות שלך.

יישום כותרות אבטחה

כותרות אבטחה הן כותרות תגובת HTTP המספקות הוראות לדפדפן לגבי האופן שבו עליו להתנהג בעת טיפול באתר האינטרנט או ב-API שלך. הן עוזרות להפחית פגיעויות אינטרנט שונות, כגון Cross-Site Scripting (XSS), Clickjacking והתקפות אחרות. הגדרת כותרות אלה כראוי היא חיונית להגנה על יישום FastAPI שלך.

כותרות אבטחה נפוצות והחשיבות שלהן

• Content-Security-Policy (CSP): כותרת זו היא כלי רב עוצמה למניעת התקפות XSS. היא מאפשרת לך להגדיר רשימת היתרים של מקורות מהם הדפדפן מורשה לטעון משאבים כגון סקריפטים, גליונות סגנונות ותמונות.
• X-Frame-Options: כותרת זו מגנה מפני התקפות Clickjacking על ידי מניעת הטמעת אתר האינטרנט שלך במסגרת באתר אינטרנט אחר.
• Strict-Transport-Security (HSTS): כותרת זו מאלצת את הדפדפן להשתמש תמיד ב-HTTPS בעת גישה לאתר האינטרנט שלך, ומונעת התקפות man-in-the-middle.
• X-Content-Type-Options: כותרת זו מונעת מהדפדפן לפרש קבצים כסוג MIME שונה ממה שהוצהר בכותרת ה-Content-Type, ובכך מפחיתה את פגיעויות MIME sniffing.
• Referrer-Policy: כותרת זו שולטת בכמות מידע המפנה (כתובת ה-URL של הדף הקודם) שנשלחת עם בקשות.
• Permissions-Policy (לשעבר Feature-Policy): כותרת זו מאפשרת לך לשלוט באילו תכונות דפדפן (למשל, מצלמה, מיקרופון, מיקום גיאוגרפי) מותרות לשימוש באתר האינטרנט שלך.

הגדרת כותרות אבטחה ב-FastAPI

בעוד של-FastAPI אין תוכנת ביניים מובנית במיוחד להגדרת כותרות אבטחה, אתה יכול להשיג זאת בקלות באמצעות תוכנת ביניים מותאמת אישית או ספריית צד שלישי כמו starlette-security או על ידי הגדרת כותרות ישירות בתגובות שלך.

דוגמה לשימוש בתוכנת ביניים מותאמת אישית:

            
from fastapi import FastAPI, Request, Response
from starlette.middleware import Middleware
from starlette.responses import JSONResponse

app = FastAPI()

async def add_security_headers(request: Request, call_next):
    response: Response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; object-src 'none'; media-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content;"
    response.headers["X-Frame-Options"] = "DENY"
    response.headers["X-Content-Type-Options"] = "nosniff"
    response.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains; preload"
    response.headers["Permissions-Policy"] = "geolocation=(), camera=(), microphone=()"
    return response


app.middleware("http")(add_security_headers)


@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}


            

              
                Copy
              
            
          

בדוגמה זו, תוכנת הביניים add_security_headers נוספת ליישום FastAPI. תוכנת ביניים זו מיירטת כל בקשה ומוסיפה את כותרות האבטחה שצוינו לתגובה. בואו נפרק את הכותרות:

• Content-Security-Policy: זוהי כותרת מורכבת המגדירה את המקורות המותרים לסוגי משאבים שונים. בדוגמה זו, היא מאפשרת משאבים מאותו מקור ('self'), סקריפטים וסגנונות מוטבעים ('unsafe-inline' - השתמש בזהירות), כתובות URI של נתונים עבור תמונות (data:) ואוסרת על רכיבי אובייקט (object-src 'none'). היא גם מגדירה frame-ancestors 'none' כדי למנוע clickjacking. upgrade-insecure-requests אומרת לדפדפן לשדרג את כל כתובות ה-URL הלא מאובטחות (HTTP) ל-HTTPS. block-all-mixed-content מונעת מהדפדפן לטעון תוכן מעורב כלשהו (תוכן HTTP בדף HTTPS). חיוני להתאים אישית את הכותרת הזו כדי להתאים לצרכים הספציפיים של היישום שלך. תצורות CSP שגויות עלולות לשבור את אתר האינטרנט שלך.
• X-Frame-Options: מוגדר ל-DENY כדי למנוע את מסגור הדף על ידי כל דומיין. לחלופין, SAMEORIGIN מאפשר מסגור רק על ידי אותו דומיין.
• X-Content-Type-Options: מוגדר ל-nosniff כדי למנוע MIME sniffing.
• Referrer-Policy: מוגדר ל-strict-origin-when-cross-origin כדי לשלוח את המקור (פרוטוקול + מארח) כמפנה בעת ניווט למקור אחר, וללא מפנה בעת ניווט לאותו מקור.
• Strict-Transport-Security: מגדיר מדיניות שמאלצת את הדפדפן להשתמש ב-HTTPS למשך זמן מוגדר (max-age). includeSubDomains מבטיח שכל תת-הדומיינים יהיו מוגנים גם הם על ידי HTTPS. preload מאפשר לכלול את הדומיין ברשימת הטעינה המוקדמת של HSTS, המובנית בדפדפנים. שים לב שהשימוש ב-preload מחייב שהאתר שלך נשלח לרשימת הטעינה המוקדמת של HSTS והתקבל על ידה.
• Permissions-Policy: מציין אילו תכונות (למשל, מיקום גיאוגרפי, מצלמה, מיקרופון) מותרות לשימוש בדפדפן. בדוגמה זו, כולם אסורים.

שיקולים מרכזיים עבור כותרות אבטחה:

• התאם אישית את Content-Security-Policy בזהירות: זוהי כותרת האבטחה המורכבת ביותר, וחיוני להגדיר אותה כראוי כדי להימנע משבירת אתר האינטרנט שלך. השתמש במחולל או מאמת CSP כדי לעזור לך ליצור מדיניות בטוחה ויעילה.
• בדוק את כותרות האבטחה שלך: השתמש בכלי מקוון כמו SecurityHeaders.com כדי לבדוק את כותרות האבטחה של אתר האינטרנט שלך ולזהות בעיות פוטנציאליות.
• נטר את כותרות האבטחה שלך: נטר באופן קבוע את כותרות האבטחה שלך כדי לוודא שהן עדיין יעילות ואין צורך בשינויים.
• שקול להשתמש ברשת אספקת תוכן (CDN): רשתות CDN רבות מציעות תכונות ניהול כותרות אבטחה מובנות, שיכולות לפשט את תהליך הגדרת ותחזוקת כותרות האבטחה שלך.

מעבר ל-CORS וכותרות אבטחה

בעוד ש-CORS וכותרות אבטחה חיוניות לאבטחת API, הן אינן האמצעים היחידים שעליך לנקוט. שיקולי אבטחה חשובים אחרים כוללים:

• אימות והרשאה: יישם מנגנוני אימות והרשאה חזקים כדי להבטיח שרק משתמשים מורשים יכולים לגשת ל-API שלך. שקול להשתמש ב-OAuth 2.0 או JWT (JSON Web Tokens) לאימות.
• אימות קלט: אמת את כל קלט המשתמש כדי למנוע התקפות הזרקה (למשל, הזרקת SQL, XSS).
• הגבלת קצב: יישם הגבלת קצב כדי למנוע התקפות מניעת שירות (DoS).
• רישום ומעקב: רשום את כל בקשות ה-API ועקוב אחר ה-API שלך לפעילות חשודה.
• ביקורות אבטחה קבועות: בצע ביקורות אבטחה קבועות כדי לזהות ולטפל בכל פגיעויות פוטנציאליות.
• שמור על עדכניות תלויות: עדכן באופן קבוע את גרסת ה-FastAPI שלך ואת כל התלויות שלה כדי לתקן פגיעויות אבטחה.

מסקנה

אבטחת ממשקי ה-API של FastAPI שלך דורשת גישה רב-גונית. על ידי יישום CORS בצורה נכונה והגדרת כותרות אבטחה מתאימות, תוכל להפחית משמעותית את הסיכון לפגיעויות אינטרנט שונות. זכור לבדוק ולעדכן את תצורת האבטחה שלך באופן קבוע כדי להתעדכן באיומים המתפתחים. אימוץ אסטרטגיית אבטחה מקיפה, כולל אימות, אימות קלט, הגבלת קצב ומעקב, חיוני לבניית ממשקי API חזקים ומאובטחים המגנים על המשתמשים שלך ועל הנתונים שלך. יישום אמצעים אלה, אם כי עשויים להיות מורכבים, הוא השקעה הכרחית כדי להבטיח את האבטחה והיציבות לטווח ארוך של היישומים שלך בנוף האיומים של ימינו.