Keamanan FastAPI: CORS dan Header Keamanan untuk API yang Kuat

Dalam lanskap digital yang saling terhubung saat ini, mengamankan API Anda sangatlah penting. FastAPI, sebuah kerangka kerja web modern berkinerja tinggi untuk membangun API dengan Python, menawarkan alat dan fitur yang sangat baik untuk menerapkan langkah-langkah keamanan yang kuat. Panduan komprehensif ini mendalami dua aspek penting keamanan FastAPI: Cross-Origin Resource Sharing (CORS) dan header keamanan. Dengan memahami dan menerapkan teknik-teknik ini, Anda dapat secara signifikan meningkatkan perlindungan API Anda terhadap kerentanan web umum.

Memahami CORS (Cross-Origin Resource Sharing)

CORS adalah mekanisme keamanan browser yang membatasi halaman web untuk membuat permintaan ke domain yang berbeda dari domain yang melayani halaman web tersebut. Kebijakan ini ada untuk mencegah situs web berbahaya mengakses data sensitif dari situs web lain tanpa otorisasi yang tepat. Tanpa CORS, situs web jahat berpotensi membuat permintaan yang tidak sah ke API Anda atas nama pengguna yang masuk, yang mengarah ke pelanggaran data atau eksploitasi keamanan lainnya.

Mengapa CORS Diperlukan?

Bayangkan sebuah skenario di mana seorang pengguna masuk ke rekening bank online mereka. Secara bersamaan, mereka mengunjungi situs web berbahaya. Tanpa CORS, situs web berbahaya berpotensi menjalankan kode JavaScript yang mengirimkan permintaan ke API perbankan pengguna, mentransfer dana ke akun penyerang. CORS mencegah hal ini dengan memberlakukan kebijakan asal yang sama secara default.

Bagaimana CORS Bekerja

Ketika browser membuat permintaan lintas asal (permintaan ke asal yang berbeda dari halaman saat ini), ia pertama-tama melakukan permintaan "preflight" menggunakan metode HTTP OPTIONS. Permintaan preflight ini memeriksa dengan server untuk menentukan apakah permintaan sebenarnya diizinkan. Server merespons dengan header yang menunjukkan asal, metode, dan header mana yang diizinkan. Jika browser menentukan bahwa permintaan diizinkan berdasarkan respons server, maka browser akan melanjutkan dengan permintaan sebenarnya. Jika tidak, permintaan akan diblokir.

"Asal" ditentukan oleh protokol (misalnya, HTTP atau HTTPS), domain (misalnya, example.com), dan port (misalnya, 80 atau 443). Dua URL dianggap berasal sama hanya jika ketiga komponen ini cocok persis.

Mengonfigurasi CORS di FastAPI

FastAPI menyederhanakan proses konfigurasi CORS menggunakan CORSMiddleware. Anda dapat menambahkan middleware ini ke aplikasi FastAPI Anda untuk mengaktifkan CORS dan menentukan asal, metode, dan header yang diizinkan.

Berikut adalah contoh dasar cara mengaktifkan CORS di FastAPI:

            
from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost",
    "http://localhost:8080",
    "https://example.com",
    "https://*.example.com",  # Izinkan semua subdomain example.com
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}

            

              
                Copy
              
            
          

Dalam contoh ini:

• allow_origins: Menentukan daftar asal yang diizinkan untuk membuat permintaan lintas asal. Menggunakan ["*"] mengizinkan semua asal, yang umumnya tidak direkomendasikan untuk lingkungan produksi. Sebaliknya, tentukan asal yang tepat yang harus diizinkan.
• allow_credentials: Menunjukkan apakah akan mengizinkan kredensial (misalnya, cookie, header otorisasi) disertakan dalam permintaan lintas asal. Mengatur ini ke True memerlukan header Access-Control-Allow-Origin diatur ke asal tertentu, bukan *.
• allow_methods: Menentukan daftar metode HTTP yang diizinkan untuk permintaan lintas asal. Menggunakan ["*"] mengizinkan semua metode. Anda dapat membatasinya ke metode tertentu seperti ["GET", "POST", "PUT", "DELETE"] untuk keamanan yang lebih besar.
• allow_headers: Menentukan daftar header HTTP yang diizinkan dalam permintaan lintas asal. Menggunakan ["*"] mengizinkan semua header. Pertimbangkan untuk membatasinya hanya pada header yang diperlukan untuk keamanan yang ditingkatkan.

Praktik Terbaik untuk Konfigurasi CORS

• Hindari penggunaan ["*"] untuk allow_origins dalam produksi: Ini membuka API Anda untuk permintaan dari asal mana pun, yang dapat menjadi risiko keamanan. Sebaliknya, cantumkan secara eksplisit asal yang diizinkan.
• Bersikap spesifik dengan metode dan header yang diizinkan: Hanya izinkan metode dan header yang benar-benar dibutuhkan oleh aplikasi Anda.
• Pahami implikasi dari allow_credentials: Jika Anda mengizinkan kredensial, pastikan Anda memahami implikasi keamanannya dan mengonfigurasi server Anda dengan tepat.
• Tinjau konfigurasi CORS Anda secara teratur: Seiring evolusi aplikasi Anda, konfigurasi CORS Anda mungkin perlu diperbarui untuk mencerminkan perubahan pada asal, metode, atau header yang diizinkan.

Menerapkan Header Keamanan

Header keamanan adalah header respons HTTP yang memberikan instruksi kepada browser tentang cara berperilaku saat menangani situs web atau API Anda. Mereka membantu mengurangi berbagai kerentanan web, seperti Cross-Site Scripting (XSS), Clickjacking, dan serangan lainnya. Mengatur header ini dengan benar sangat penting untuk melindungi aplikasi FastAPI Anda.

Header Keamanan Umum dan Kepentingannya

• Content-Security-Policy (CSP): Header ini adalah alat yang ampuh untuk mencegah serangan XSS. Ini memungkinkan Anda untuk menentukan daftar putih sumber dari mana browser diizinkan untuk memuat sumber daya seperti skrip, stylesheet, dan gambar.
• X-Frame-Options: Header ini melindungi dari serangan Clickjacking dengan mencegah situs web Anda disematkan dalam bingkai di situs web lain.
• Strict-Transport-Security (HSTS): Header ini memaksa browser untuk selalu menggunakan HTTPS saat mengakses situs web Anda, mencegah serangan man-in-the-middle.
• X-Content-Type-Options: Header ini mencegah browser menafsirkan file sebagai tipe MIME yang berbeda dari yang dideklarasikan dalam header Content-Type, mengurangi kerentanan penyadapan MIME.
• Referrer-Policy: Header ini mengontrol seberapa banyak informasi perujuk (URL halaman sebelumnya) dikirim dengan permintaan.
• Permissions-Policy (sebelumnya Feature-Policy): Header ini memungkinkan Anda untuk mengontrol fitur browser mana (misalnya, kamera, mikrofon, geolokasi) yang diizinkan untuk digunakan di situs web Anda.

Menetapkan Header Keamanan di FastAPI

Meskipun FastAPI tidak memiliki middleware bawaan khusus untuk menetapkan header keamanan, Anda dapat dengan mudah mencapainya menggunakan middleware kustom atau pustaka pihak ketiga seperti starlette-security atau dengan langsung menetapkan header dalam respons Anda.

Contoh menggunakan middleware kustom:

            
from fastapi import FastAPI, Request, Response
from starlette.middleware import Middleware
from starlette.responses import JSONResponse

app = FastAPI()

async def add_security_headers(request: Request, call_next):
    response: Response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; object-src 'none'; media-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content;"
    response.headers["X-Frame-Options"] = "DENY"
    response.headers["X-Content-Type-Options"] = "nosniff"
    response.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains; preload"
    response.headers["Permissions-Policy"] = "geolocation=(), camera=(), microphone=()"
    return response


app.middleware("http")(add_security_headers)


@app.get("/")
async def read_root():
    return {"message": "Hello, World!"}


            

              
                Copy
              
            
          

Dalam contoh ini, middleware add_security_headers ditambahkan ke aplikasi FastAPI. Middleware ini mencegat setiap permintaan dan menambahkan header keamanan yang ditentukan ke respons. Mari kita uraikan headernya:

• Content-Security-Policy: Ini adalah header yang kompleks yang mendefinisikan sumber yang diizinkan untuk berbagai jenis sumber daya. Dalam contoh ini, header mengizinkan sumber daya dari asal yang sama ('self'), skrip dan gaya inline ('unsafe-inline' - gunakan dengan hati-hati), URI data untuk gambar (data:), dan melarang elemen objek (object-src 'none'). Header ini juga mengatur frame-ancestors 'none' untuk mencegah clickjacking. upgrade-insecure-requests memberi tahu browser untuk meningkatkan semua URL tidak aman (HTTP) ke HTTPS. block-all-mixed-content mencegah browser memuat konten campuran apa pun (konten HTTP di halaman HTTPS). Sangat penting untuk menyesuaikan header ini agar sesuai dengan kebutuhan spesifik aplikasi Anda. Konfigurasi CSP yang salah dapat merusak situs web Anda.
• X-Frame-Options: Diatur ke DENY untuk mencegah halaman dibingkai oleh domain mana pun. Atau, SAMEORIGIN mengizinkan pembingkaian hanya oleh domain yang sama.
• X-Content-Type-Options: Diatur ke nosniff untuk mencegah penyadapan MIME.
• Referrer-Policy: Diatur ke strict-origin-when-cross-origin untuk mengirim asal (protokol + host) sebagai perujuk saat menavigasi ke asal lain, dan tidak ada perujuk saat menavigasi ke asal yang sama.
• Strict-Transport-Security: Menetapkan kebijakan yang memaksa browser untuk menggunakan HTTPS untuk durasi tertentu (max-age). includeSubDomains memastikan bahwa semua subdomain juga dilindungi oleh HTTPS. preload memungkinkan domain disertakan dalam daftar preload HSTS, yang tertanam di browser. Perhatikan bahwa menggunakan preload mengharuskan situs Anda telah dikirimkan ke, dan diterima oleh, daftar preload HSTS.
• Permissions-Policy: Menentukan fitur mana (misalnya, geolokasi, kamera, mikrofon) yang diizinkan untuk digunakan di browser. Dalam contoh ini, semua dilarang.

Pertimbangan Utama untuk Header Keamanan:

• Sesuaikan Content-Security-Policy dengan hati-hati: Ini adalah header keamanan yang paling kompleks, dan sangat penting untuk mengonfigurasinya dengan benar untuk menghindari merusak situs web Anda. Gunakan pembuat atau validator CSP untuk membantu Anda membuat kebijakan yang aman dan efektif.
• Uji header keamanan Anda: Gunakan alat online seperti SecurityHeaders.com untuk menguji header keamanan situs web Anda dan mengidentifikasi potensi masalah.
• Pantau header keamanan Anda: Pantau header keamanan Anda secara teratur untuk memastikan header tersebut masih efektif dan tidak ada perubahan yang diperlukan.
• Pertimbangkan untuk menggunakan Content Delivery Network (CDN): Banyak CDN menawarkan fitur manajemen header keamanan bawaan, yang dapat menyederhanakan proses penetapan dan pemeliharaan header keamanan Anda.

Melampaui CORS dan Header Keamanan

Meskipun CORS dan header keamanan sangat penting untuk keamanan API, itu bukanlah satu-satunya langkah yang harus Anda ambil. Pertimbangan keamanan penting lainnya meliputi:

• Otentikasi dan Otorisasi: Terapkan mekanisme otentikasi dan otorisasi yang kuat untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses API Anda. Pertimbangkan untuk menggunakan OAuth 2.0 atau JWT (JSON Web Tokens) untuk otentikasi.
• Validasi Input: Validasi semua input pengguna untuk mencegah serangan injeksi (misalnya, SQL injection, XSS).
• Pembatasan Tingkat: Terapkan pembatasan tingkat untuk mencegah serangan penolakan layanan (DoS).
• Pencatatan dan Pemantauan: Catat semua permintaan API dan pantau API Anda untuk aktivitas mencurigakan.
• Audit Keamanan Reguler: Lakukan audit keamanan secara teratur untuk mengidentifikasi dan mengatasi potensi kerentanan.
• Simpan Dependensi Tetap Terbaru: Perbarui versi FastAPI Anda dan semua dependensinya secara teratur untuk menambal kerentanan keamanan.

Kesimpulan

Mengamankan API FastAPI Anda memerlukan pendekatan multi-segi. Dengan menerapkan CORS dengan benar dan menetapkan header keamanan yang sesuai, Anda dapat secara signifikan mengurangi risiko berbagai kerentanan web. Ingatlah untuk secara teratur meninjau dan memperbarui konfigurasi keamanan Anda agar tetap mengikuti ancaman yang terus berkembang. Merangkul strategi keamanan yang komprehensif, termasuk otentikasi, validasi input, pembatasan tingkat, dan pemantauan, sangat penting untuk membangun API yang kuat dan aman yang melindungi pengguna dan data Anda. Menerapkan langkah-langkah ini, meskipun berpotensi kompleks, merupakan investasi yang diperlukan untuk memastikan keamanan dan stabilitas jangka panjang aplikasi Anda dalam lanskap ancaman saat ini.