Python中HTTPServer()的安全性和防护措施

发布时间：2024-01-02 05:56:40

Python的HTTPServer是一个简单的HTTP服务器，它提供了基本的Web服务器功能。尽管它功能简单，但仍然有一些安全性问题需要考虑和防护措施需要采取。

1. 限制访问权限：可以通过IP地址或者域名来限制对HTTPServer的访问。可以使用防火墙或者HTTPServer的配置来实现。

from http.server import HTTPServer, SimpleHTTPRequestHandler

class MyHandler(SimpleHTTPRequestHandler):
    def end_headers(self):
        self.send_header('Access-Control-Allow-Origin', 'example.com') # 只允许example.com域名访问
        SimpleHTTPRequestHandler.end_headers(self)

httpd = HTTPServer(('localhost', 8000), MyHandler)
httpd.serve_forever()

2. 防止目录遍历攻击：默认情况下，HTTPServer会根据URL的路径提供对文件的访问。为了防止目录遍历攻击，可以使用posixpath模块来规范化路径。

from http.server import HTTPServer, SimpleHTTPRequestHandler
from urllib import parse
import posixpath

class MyHandler(SimpleHTTPRequestHandler):
    def translate_path(self, path):
        path = path.split('?', 1)[0]
        path = path.split('#', 1)[0]
        path = posixpath.normpath(parse.unquote(path))
        words = path.split('/')
        words = filter(None, words)
        path = self.document_root
        for word in words:
            drive, word = os.path.splitdrive(word)
            head, word = os.path.split(word)
            if word in (os.curdir, os.pardir):
                continue
            path = os.path.join(path, word)
        return path

httpd = HTTPServer(('localhost', 8000), MyHandler)
httpd.serve_forever()

3. 防止恶意脚本注入：HTTPServer默认支持CGI脚本执行，为了防止恶意脚本注入，可以禁用CGI支持。

from http.server import HTTPServer, SimpleHTTPRequestHandler

class MyHandler(SimpleHTTPRequestHandler):
    def __init__(self, *args, **kwargs):
        self.cgi_directories = []
        super().__init__(*args, **kwargs)

httpd = HTTPServer(('localhost', 8000), MyHandler)
httpd.serve_forever()

4. 使用HTTPS协议：为了提高安全性，可以使用SSL/TLS加密协议来确保数据的安全传输。

import ssl
from http.server import HTTPServer, SimpleHTTPRequestHandler

httpd = HTTPServer(('localhost', 8000), SimpleHTTPRequestHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile='./cert.pem', keyfile='./key.pem', server_side=True)

httpd.serve_forever()

5. 记录访问日志：可以记录访问日志来追踪潜在的攻击或异常行为。

from http.server import HTTPServer, SimpleHTTPRequestHandler
import logging

class MyHandler(SimpleHTTPRequestHandler):
    def log_message(self, format, *args):
        logging.info("%s - - [%s] %s
" %
                     (self.client_address[0],
                      self.log_date_time_string(),
                      format%args))

httpd = HTTPServer(('localhost', 8000), MyHandler)
httpd.serve_forever()

注意：虽然上述措施可以加强HTTPServer的安全性，但它们只是基本的防护措施。在生产环境中，建议使用专业的Web服务器如Apache或Nginx等来提供更全面的安全功能和防护措施。