第一章:为什么安全不能“事后补”?
1.1 真实代价
| 事件 | 后果 |
|---|---|
| XSS 窃取会话 | 用户账号被接管 |
| SQL 注入 | 全库数据泄露(如 2017 Equifax) |
| IDOR(越权) | A 用户读取 B 用户的医疗记录 |
| 无速率限制 | 暴力破解管理员密码 |
原则:安全是功能,不是附加项。
1.2 OWASP Top 10(2021)概览
| 风险 | 本篇覆盖方案 |
|---|---|
| A01: Broken Access Control | RBAC + 对象级权限校验 |
| A02: Cryptographic Failures | HTTPS + 安全 JWT + 敏感字段脱敏 |
| A03: Injection | 参数化查询 + 输入验证 |
| A04: Insecure Design | 安全开发生命周期(SDL) |
| A05: Security Misconfiguration | 安全头 + 最小权限原则 |
| A06: Vulnerable Components | 依赖扫描(safety / npm audit) |
| A07: Identification Failures | 多因素认证 + 强密码策略 |
| A08: Software Data Integrity | 未涉及(侧重供应链) |
| A09: Security Logging | 日志脱敏 + 异常行为告警 |
| A10: SSRF | URL 白名单 + 禁用内部协议 |
本篇重点解决A01–A07、A09、A10。
第二章:前端安全加固
2.1 防御 XSS(跨站脚本)
风险场景
<!-- 危险!直接渲染用户输入 --> <div v-html="userComment"></div>安全方案:DOMPurify
安装:
npm install dompurify使用:
// utils/sanitize.ts import DOMPurify from 'dompurify' export const sanitizeHTML = (html: string): string => { return DOMPurify.sanitize(html, { ALLOWED_TAGS: ['b', 'i', 'em', 'strong'], // 仅允许安全标签 FORBID_ATTR: ['style', 'onerror'] // 禁用危险属性 }) }在组件中:
<template> <div v-html="sanitizedComment"></div> </template> <script setup lang="ts"> import { sanitizeHTML } from '@/utils/sanitize' const props = defineProps<{ comment: string }>() const sanitizedComment = sanitizeHTML(props.comment) </script>注意:即使使用 Vue 的
{{ }}插值,若后端返回 HTML 片段仍需净化。
2.2 内容安全策略(CSP)
通过 HTTP 头限制资源加载:
# nginx.conf add_header Content-Security-Policy " default-src 'self'; script-src 'self' 'unsafe-inline' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self' https://api.yourdomain.com; frame-ancestors 'none'; # 防点击劫持 object-src 'none'; " always;关键指令:
script-src:禁止内联脚本(但 Vue 开发模式需'unsafe-inline',生产应移除)connect-src:限制 AJAX 请求目标frame-ancestors 'none':防止页面被嵌入 iframe
2.3 安全 Cookie 设置
虽前端不直接操作 Cookie,但需确保后端设置正确:
Set-Cookie: session_id=abc123; HttpOnly; ← 禁止 JS 访问 Secure; ← 仅 HTTPS 传输 SameSite=Lax; ← 防 CSRF(宽松模式) Path=/;注意:JWT 通常存于
localStorage,但更推荐HttpOnly Cookie(防 XSS 窃取)。
第三章:后端安全核心实践(Flask)
3.1 防 SQL 注入
错误做法
# 危险!拼接 SQL query = f"SELECT * FROM users WHERE id = {user_id}"正确做法:参数化查询
# SQLAlchemy ORM(自动参数化) user = User.query.filter(User.id == user_id).first() # 原生 SQL(显式参数) db.session.execute( text("SELECT * FROM users WHERE id = :user_id"), {"user_id": user_id} )验证:用
' OR '1'='1测试,应返回空或报错。
3.2 越权访问控制(Broken Access Control)
场景:用户 A 尝试访问/api/users/123/profile(123 是用户 B)
错误实现:
@app.route('/api/users/<int:user_id>/profile') @jwt_required() def get_profile(user_id): # 直接返回,未校验当前用户是否为 owner return User.query.get(user_id).to_dict()安全实现:
@app.route('/api/users/<int:user_id>/profile') @jwt_required() def get_profile(user_id): current_user_id = get_jwt_identity() # 关键:校验资源归属 if current_user_id != user_id: # 或检查是否为管理员 if not current_user.is_admin: abort(403, "Forbidden") return User.query.get(user_id).to_dict()进阶:使用对象级权限库(如
Flask-Principal)。
3.3 CSRF 防护(针对传统表单)
注意:纯 API + JWT 通常无需 CSRF(因无 Cookie 自动携带),但若使用 Session 则需防护。
启用 Flask-WTF:
from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app)前端发送 Token:
// 从 meta 标签获取 const csrfToken = document.querySelector('meta[name="csrf-token"]').content; axios.defaults.headers.common['X-CSRFToken'] = csrfToken;3.4 速率限制(防暴力破解)
安装flask-limiter:
pip install flask-limiter配置:
from flask_limiter import Limiter from flask_limiter.util import get_remote_address limiter = Limiter( app, key_func=get_remote_address, default_limits=["200 per day", "50 per hour"] ) @app.route("/auth/login", methods=["POST"]) @limiter.limit("5 per minute") # 登录接口严格限制 def login(): # ...策略:
- 登录:5 次/分钟
- API:100 次/小时/IP
- 管理员接口:更严格
第四章:API 与认证安全
4.1 JWT 安全最佳实践
| 风险 | 防御措施 |
|---|---|
| Token 泄露 | 短有效期(access_token=15min)+ refresh_token 安全存储 |
| 重放攻击 | 使用jti(JWT ID) + 黑名单(Redis 存储已注销 token) |
| 算法混淆 | 强制指定算法(如 HS256),拒绝alg: none |
Token 注销示例:
@app.route('/auth/logout', methods=['POST']) @jwt_required() def logout(): jti = get_jwt()['jti'] # 加入黑名单,有效期 = 原 token 剩余时间 redis.setex(f"blacklist:{jti}", expires_in, "true") return {"msg": "Logged out"}验证时检查黑名单:
@jwt.token_in_blocklist_loader def check_if_token_revoked(jwt_header, jwt_payload): jti = jwt_payload["jti"] return redis.exists(f"blacklist:{jti}")4.2 敏感数据脱敏
响应中隐藏密码、身份证等:
class UserSchema(Schema): id = fields.Int() username = fields.Str() email = fields.Email() # 不输出 password_hash # 身份证部分打码 id_card = fields.Method("mask_id_card") def mask_id_card(self, obj): if obj.id_card: return obj.id_card[:6] + "****" + obj.id_card[-4:] return None原则:永远不要在日志、响应、前端存储中明文出现敏感字段。
第五章:安全配置与依赖管理
5.1 安全 HTTP 头
使用flask-talisman自动设置:
from flask_talisman import Talisman Talisman(app, force_https=True, strict_transport_security=True, content_security_policy=csp_policy, # 同前端 CSP referrer_policy="strict-origin-when-cross-origin", x_frame_options="DENY" )5.2 依赖漏洞扫描
Python:
pip install safety safety check -r requirements.txtNode.js:
npm audit --audit-level highCI 集成(GitHub Actions):
- name: Check Python dependencies run: | pip install safety safety check -r requirements.txt --exit-code策略:CI 中发现高危漏洞则失败。
第六章:自动化安全测试
6.1 静态代码分析
Python(Bandit):
pip install bandit bandit -r ./app -f json -o bandit-report.json常见检测项:
- 硬编码密码
- 不安全的
pickle使用 - 未验证的重定向
前端(ESLint 安全插件):
npm install -D eslint-plugin-security.eslintrc.js:
plugins: ['security'], rules: { 'security/detect-object-injection': 'error', 'security/detect-non-literal-fs-filename': 'error' }6.2 动态扫描:OWASP ZAP
启动 ZAP 扫描:
docker run -t owasp/zap2docker-stable zap-baseline.py \ -t https://your-staging-domain.com \ -r zap-report.htmlCI 集成:
- name: Run ZAP Baseline Scan run: | docker run --network host -v $(pwd):/zap/wrk:z \ owasp/zap2docker-stable zap-baseline.py \ -t http://localhost:5000 \ -x zap-report.xml注意:ZAP 可能触发大量请求,仅用于测试环境。
第七章:渗透测试实战(手动验证)
7.1 测试越权(IDOR)
- 用用户 A 登录,获取其
user_id=100 - 修改请求为
GET /api/users/101/profile - 预期:返回 403,而非用户 101 的数据
7.2 测试 XSS
- 在用户昵称输入
<script>alert(1)</script> - 保存后刷新页面
- 预期:脚本不执行,仅显示文本
7.3 测试 SSRF(服务器端请求伪造)
若应用支持 webhook 或图片抓取:
POST /api/fetch-image { "url": "http://169.254.169.254/latest/meta-data" } # AWS 元数据预期:返回错误,禁止访问内网 IP。
防御代码:
from urllib.parse import urlparse import ipaddress def is_safe_url(url): try: result = urlparse(url) # 检查是否为内网 IP addr = ipaddress.ip_address(socket.gethostbyname(result.hostname)) return not addr.is_private and not addr.is_loopback except: return False第八章:CI/CD 安全门禁
8.1 GitHub Actions 安全工作流
name: Security Scan on: [push, pull_request] jobs: security: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Setup Python uses: actions/setup-python@v4 with: { python-version: '3.11' } - name: Install deps run: pip install -r requirements.txt -r requirements-dev.txt - name: Bandit Scan run: bandit -r ./app --exit-zero -f json | tee bandit.json - name: Safety Check run: safety check -r requirements.txt --exit-code - name: ESLint Security run: npm run lint:security - name: Fail on High Risk run: | if grep -q '"severity": "HIGH"' bandit.json; then echo "High risk found!"; exit 1 fi效果:PR 中若含高危漏洞,无法合并。
第九章:安全开发流程(SDL)
将安全融入开发全周期:
| 阶段 | 活动 |
|---|---|
| 需求 | 威胁建模(STRIDE) |
| 设计 | 安全架构评审 |
| 编码 | 安全编码规范 + SAST |
| 测试 | DAST + 渗透测试 |
| 发布 | 依赖扫描 + 配置审计 |
| 运维 | 日志监控 + 应急响应 |
工具链:
- 威胁建模:Microsoft Threat Modeling Tool
- SAST:Bandit, Semgrep
- DAST:OWASP ZAP, Burp Suite
