Web2py-安全

在前面的章节中，有关于使用各种工具实施web2py的完整信息。从用户的角度来看，开发web2py应用程序的主要问题包括安全性。

web2py的独特功能如下：

• 用户可以轻松地学习实现。它不需要安装和依赖项。
• 自发布之日起，它就一直稳定。
• web2py是轻量级的，并包含用于数据抽象层和模板语言的库。
• 它在Web服务器网关接口的帮助下工作，该接口充当Web服务器与应用程序之间的通信。

开放式Web应用程序安全项目（OWASP）是一个社区，其中列出了Web应用程序的安全漏洞。

安全

关于OWASP，下面讨论与Web应用程序有关的问题以及web2py如何克服它们。

跨脚本

也称为XSS。每当应用程序获取用户提供的数据并将其发送到用户的浏览器而无需编码或验证内容时，就会发生这种情况。攻击者使用跨脚本执行脚本以注入蠕虫和病毒。

web2py通过阻止View中所有呈现的变量来帮助防止XSS 。

信息安全

有时，应用程序会泄漏有关内部工作，隐私和配置的信息。攻击者使用它来破坏敏感数据，这可能导致严重的攻击。

web2py通过票务系统防止了这种情况。它记录所有错误，并将票证发给正在注册错误的用户。这些错误只能由管理员访问。

认证

帐户凭据通常不受保护。攻击者利用密码，身份验证令牌来窃取用户的身份。

web2py提供了用于管理界面的机制。当客户端不是“ localhost”时，它也会强制使用安全会话。

不安全的通讯

有时应用程序无法加密网络流量。必须管理流量以保护敏感通信。

web2py提供启用SSL的证书，以提供通信加密。这也有助于保持敏感的通信。

URL访问限制

Web应用程序通常通过阻止向某些用户显示链接和URL来保护敏感功能。攻击者可以通过使用一些信息来处理URL，从而破坏某些敏感数据。

在wb2py中，URL映射到模块和功能，而不是给定文件。它还包括一种机制，该机制指定哪些功能是公共的，哪些功能保持为私有。这有助于解决问题。