百度360必应搜狗淘宝本站头条
0xalinux查看python版本信息python怎么改成中文python安装opencv库1到10的阶乘之和是多少
当前位置:网站首页 > 技术文章 > 正文

增强 FastAPI 安全性:实现安全标头

itomcoil 2024-12-22 18:54 22 浏览

FastAPI 是一个现代 Web 框架,用于基于标准 Python 类型提示使用 Python 3.7+ 构建 API。虽然它提供了许多强大的功能并且设计为安全的,但您可以采取其他措施来进一步增强 FastAPI 应用程序的安全性。其中一项措施是实现安全标头。安全标头可以帮助保护您的应用程序免受各种攻击,例如跨站点脚本 (XSS)、点击劫持和内容嗅探。在本博客中,我们将讨论一些基本的安全标头以及如何在 FastAPI 应用程序中实现它们。

了解安全标头

在深入实现之前,让我们先了解一些关键的安全标头是什么以及它们的作用:

  1. 内容安全策略 (CSP):通过指定允许加载哪些内容源来帮助防止 XSS 攻击。
  2. 严格传输安全 (HSTS):确保浏览器仅通过 HTTPS 与服务器通信。
  3. X-Content-Type-Options:防止浏览器将文件解释为与指定不同的 MIME 类型。
  4. X-Frame-Options:通过控制页面是否可以显示在框架中来防止点击劫持。
  5. Referrer-Policy:控制请求中包含多少引荐来源信息。
  6. X-XSS-Protection:启用大多数现代 Web 浏览器中内置的跨站点脚本 (XSS) 过滤器。

在 FastAPI 中实现安全标头

FastAPI 不提供对设置安全标头的内置支持,但使用中间件添加它们很简单。FastAPI 中的中间件是在每个请求之前或之后运行的函数。以下是创建和添加中间件以设置安全标头的方法。

步骤 1:创建中间件以添加安全标头

创建一个名为 middleware.py 的文件并定义一个中间件函数来添加安全标头。

from starlette.middleware.base import BaseHTTPMiddleware
from starlette.types import ASGIApp, Receive, Scope, Send


class SecurityHeadersMiddleware(BaseHTTPMiddleware):
    def __init__(self, app: ASGIApp):
        super().__init__(app)


    async def dispatch(self, request: Scope, call_next):
        response = await call_next(request)
        
        # Add security headers
        response.headers['Content-Security-Policy'] = "default-src 'self'"
        response.headers['Strict-Transport-Security'] = 'max-age=31536000; includeSubDomains'
        response.headers['X-Content-Type-Options'] = 'nosniff'
        response.headers['X-Frame-Options'] = 'DENY'
        response.headers['Referrer-Policy'] = 'no-referrer'
        response.headers['X-XSS-Protection'] = '1; mode=block'
        
        return response

步骤 2:将中间件添加到您的 FastAPI 应用程序

在您的FastAPI 应用程序主文件(例如 main.py)中,导入并添加中间件。

from fastapi import FastAPI
from middleware import SecurityHeadersMiddleware


app = FastAPI()


# Add SecurityHeadersMiddleware to the application
app.add_middleware(SecurityHeadersMiddleware)


@app.get("/")
async def root():
    return {"message": "Hello, World!"}

步骤 3:运行您的应用程序

使用 uvicorn 运行您的 FastAPI 应用程序。

uvicorn main:app --reload

现在,当您访问您的 FastAPI 应用程序时,指定的安全标头将包含在响应中。您可以通过检查浏览器的开发人员工具中的响应标头或使用 curl 等工具来验证这一点。

示例验证

使用 curl 发出请求并查看响应标头。

curl -I http://127.0.0.1:8000/

您应该在响应中看到安全标头:

HTTP/1.1 200 OK
content-security-policy: default-src 'self'
strict-transport-security: max-age=31536000; includeSubDomains
x-content-type-options: nosniff
x-frame-options: DENY
referrer-policy: no-referrer
x-xss-protection: 1; mode=block

除了前面展示的一般实现之外,下面还有一些关于在 FastAPI 中实现各种安全标头的其他演示。这些演示将介绍不同标头的具体用例,以及如何微调它们以满足应用程序的安全需求。

1. 具有多个指令的内容安全策略 (CSP)

内容安全策略 (CSP) 标头通过指定允许哪些内容源来帮助防止 XSS 攻击。在这里,我们演示了如何设置更详细的 CSP 策略。

步骤 1:定义中间件

from starlette.middleware.base import BaseHTTPMiddleware
from starlette.types import ASGIApp, Receive, Scope, Send


class CSPMiddleware(BaseHTTPMiddleware):
    def __init__(self, app: ASGIApp):
        super().__init__(app)


    async def dispatch(self, request: Scope, call_next):
        response = await call_next(request)
        # Detailed CSP policy
        csp_policy = (
            "default-src 'self'; "
            "script-src 'self' https://trustedscripts.example.com; "
            "style-src 'self' https://trustedstyles.example.com; "
            "img-src 'self' data:;"
        )
        response.headers['Content-Security-Policy'] = csp_policy
        return response

步骤2:将中间件添加到 FastAPI 应用程序

from fastapi import FastAPI
from csp_middleware import CSPMiddleware


app = FastAPI()


app.add_middleware(CSPMiddleware)


@app.get("/")
async def root():
    return {"message": "Hello, Secure World!"}

2. Feature-Policy 标头

Feature-Policy 标头允许您控制哪些功能和 API 可在浏览器中使用。

步骤 1:定义中间件

from starlette.middleware.base import BaseHTTPMiddleware
from starlette.types import ASGIApp, Receive, Scope, Send


class FeaturePolicyMiddleware(BaseHTTPMiddleware):
    def __init__(self, app: ASGIApp):
        super().__init__(app)


    async def dispatch(self, request: Scope, call_next):
        response = await call_next(request)
        # Set Feature-Policy header
        feature_policy = (
            "geolocation 'none'; "
            "midi 'none'; "
            "sync-xhr 'self'; "
            "microphone 'none'; "
            "camera 'none'; "
            "magnetometer 'none'; "
            "gyroscope 'none'; "
            "speaker 'self'; "
            "vibrate 'none'; "
            "fullscreen 'self'; "
            "payment 'none';"
        )
        response.headers['Feature-Policy'] = feature_policy
        return response

步骤 2:将中间件添加到 FastAPI 应用程序

from fastapi import FastAPI
from feature_policy_middleware import FeaturePolicyMiddleware


app = FastAPI()


app.add_middleware(FeaturePolicyMiddleware)


@app.get("/")
async def root():
    return {"message": "Hello, Feature-Policy World!"}

3. Referrer-Policy 标头

Referrer-Policy 标头控制请求中包含多少引荐来源信息。

步骤 1:定义中间件

from starlette.middleware.base import BaseHTTPMiddleware
from starlette.types import ASGIApp, Receive, Scope, Send


class ReferrerPolicyMiddleware(BaseHTTPMiddleware):
    def __init__(self, app: ASGIApp):
        super().__init__(app)


    async def dispatch(self, request: Scope, call_next):
        response = await call_next(request)
        # Set Referrer-Policy header
        response.headers['Referrer-Policy'] = 'strict-origin-when-cross-origin'
        return response

步骤 2:将中间件添加到 FastAPI 应用程序

from fastapi import FastAPI
from referrer_policy_middleware import ReferrerPolicyMiddleware


app = FastAPI()


app.add_middleware(ReferrerPolicyMiddleware)


@app.get("/")
async def root():
    return {"message": "Hello, Referrer-Policy World!"}

4. Permissions-Policy 标头(以前称为 Feature-Policy)

Permissions-Policy 标头(以前称为 Feature-Policy)控制哪些浏览器功能可在您的应用程序中使用。

步骤 1:定义中间件

from starlette.middleware.base import BaseHTTPMiddleware
from starlette.types import ASGIApp, Receive, Scope, Send


class PermissionsPolicyMiddleware(BaseHTTPMiddleware):
    def __init__(self, app: ASGIApp):
        super().__init__(app)


    async def dispatch(self, request: Scope, call_next):
        response = await call_next(request)
        # Set Permissions-Policy header
        permissions_policy = (
            "accelerometer=(), "
            "camera=(), "
            "geolocation=(), "
            "gyroscope=(), "
            "magnetometer=(), "
            "microphone=(), "
            "payment=(), "
            "usb=()"
        )
        response.headers['Permissions-Policy'] = permissions_policy
        return response

步骤 2:将中间件添加到 FastAPI 应用程序

from fastapi import FastAPI
from permissions_policy_middleware import PermissionsPolicyMiddleware


app = FastAPI()


app.add_middleware(PermissionsPolicyMiddleware)


@app.get("/")
async def root():
    return {"message": "Hello, Permissions-Policy World!"}

5. 自定义安全标头中间件

您可以创建一个允许您根据需要设置自定义标头的中间件。

步骤 1:定义中间件

from starlette.middleware.base import BaseHTTPMiddleware
from starlette.types import ASGIApp, Receive, Scope, Send


class CustomHeadersMiddleware(BaseHTTPMiddleware):
    def __init__(self, app: ASGIApp, headers: dict):
        super().__init__(app)
        self.headers = headers


    async def dispatch(self, request: Scope, call_next):
        response = await call_next(request)
        for header, value in self.headers.items():
            response.headers[header] = value
        return response

步骤 2:将中间件添加到 FastAPI 应用程序

from fastapi import FastAPI
from custom_headers_middleware import CustomHeadersMiddleware


app = FastAPI()


custom_headers = {
    'X-DNS-Prefetch-Control': 'off',
    'X-Download-Options': 'noopen',
    'X-Permitted-Cross-Domain-Policies': 'none',
}


app.add_middleware(CustomHeadersMiddleware, headers=custom_headers)


@app.get("/")
async def root():
    return {"message": "Hello, Custom Headers World!"}

通过实现这些额外的安全标头,您可以显著增强 FastAPI 应用程序的安全态势。自定义中间件可让您根据安全需求的变化轻松添加、修改和管理这些标头。

实施安全标头是一种简单而有效的增强 FastAPI 应用程序安全性的方法。通过使用中间件添加这些标头,您可以保护您的应用程序免受常见的安全威胁,例如 XSS、点击劫持和 MIME 类型嗅探。

写在最后:

  1. 如上所述,安全标头增强了安全性,改进了对功能的控制等,但是,过度的安全标头也是一种“灾难”,标头本身就增加了每个请求的处理逻辑,可能降低性能;过度的限制对于用户的体验是一种伤害,也可能误伤合法内容或者功能,所以安全是一个道,大家要慎重的去平衡

相关推荐

Excel新函数TEXTSPLIT太强大了,轻松搞定数据拆分!

我是【桃大喵学习记】,欢迎大家关注哟~,每天为你分享职场办公软件使用技巧干货!最近我把WPS软件升级到了版本号:12.1.0.15990的最新版本,最版本已经支持文本拆分函数TEXTSPLIT了,并...

Excel超强数据拆分函数TEXTSPLIT,从入门到精通!

我是【桃大喵学习记】,欢迎大家关注哟~,每天为你分享职场办公软件使用技巧干货!今天跟大家分享的是Excel超强数据拆分函数TEXTSPLIT,带你从入门到精通!TEXTSPLIT函数真是太强大了,轻松...

看完就会用的C++17特性总结(c++11常用新特性)

作者:taoklin,腾讯WXG后台开发一、简单特性1.namespace嵌套C++17使我们可以更加简洁使用命名空间:2.std::variant升级版的C语言Union在C++17之前,通...

plsql字符串分割浅谈(plsql字符集设置)

工作之中遇到的小问题,在此抛出问题,并给出解决方法。一方面是为了给自己留下深刻印象,另一方面给遇到相似问题的同学一个解决思路。如若其中有写的不好或者不对的地方也请不加不吝赐教,集思广益,共同进步。遇到...

javascript如何分割字符串(javascript切割字符串)

javascript如何分割字符串在JavaScript中,您可以使用字符串的`split()`方法来将一个字符串分割成一个数组。`split()`方法接收一个参数,这个参数指定了分割字符串的方式。如...

TextSplit函数的使用方法(入门+进阶+高级共八种用法10个公式)

在Excel和WPS新增的几十个函数中,如果按实用性+功能性排名,textsplit排第二,无函数敢排第一。因为它不仅使用简单,而且解决了以前用超复杂公式才能搞定的难题。今天小编用10个公式,让你彻底...

Python字符串split()方法使用技巧

在Python中,字符串操作可谓是基础且关键的技能,而今天咱们要重点攻克的“堡垒”——split()方法,它能将看似浑然一体的字符串,按照我们的需求进行拆分,极大地便利了数据处理与文本解析工作。基本语...

go语言中字符串常用的系统函数(golang 字符串)

最近由于工作比较忙,视频有段时间没有更新了,在这里跟大家说声抱歉了,我尽快抽些时间整理下视频今天就发一篇关于go语言的基础知识吧!我这我工作中用到的一些常用函数,汇总出来分享给大家,希望对...

无规律文本拆分,这些函数你得会(没有分隔符没规律数据拆分)

今天文章来源于表格学员训练营群内答疑,混合文本拆分。其实拆分不难,只要规则明确就好办。就怕规则不清晰,或者规则太多。那真是,Oh,mygod.如上图所示进行拆分,文字表达实在是有点难,所以小熊变身灵...

Python之文本解析:字符串格式化的逆操作?

引言前面的文章中,提到了关于Python中字符串中的相关操作,更多地涉及到了字符串的格式化,有些地方也称为字符串插值操作,本质上,就是把多个字符串拼接在一起,以固定的格式呈现。关于字符串的操作,其实还...

忘记【分列】吧,TEXTSPLIT拆分文本好用100倍

函数TEXTSPLIT的作用是:按分隔符将字符串拆分为行或列。仅ExcelM365版本可用。基本应用将A2单元格内容按逗号拆分。=TEXTSPLIT(A2,",")第二参数设置为逗号...

Excel365版本新函数TEXTSPLIT,专攻文本拆分

Excel中字符串的处理,拆分和合并是比较常见的需求。合并,当前最好用的函数非TEXTJOIN不可。拆分,Office365于2022年3月更新了一个专业函数:TEXTSPLIT语法参数:【...

站长在线Python精讲使用正则表达式的split()方法分割字符串详解

欢迎你来到站长在线的站长学堂学习Python知识,本文学习的是《在Python中使用正则表达式的split()方法分割字符串详解》。使用正则表达式分割字符串在Python中使用正则表达式的split(...

Java中字符串分割的方法(java字符串切割方法)

技术背景在Java编程中,经常需要对字符串进行分割操作,例如将一个包含多个信息的字符串按照特定的分隔符拆分成多个子字符串。常见的应用场景包括解析CSV文件、处理网络请求参数等。实现步骤1.使用Str...

因为一个函数strtok踩坑,我被老工程师无情嘲笑了

在用C/C++实现字符串切割中,strtok函数经常用到,其主要作用是按照给定的字符集分隔字符串,并返回各子字符串。但是实际上,可不止有strtok(),还有strtok、strtok_s、strto...

一周热门
最近发表
标签列表