يُوفر Django أساسًا آمنًا لبناء تطبيقات الويب وتطويرها. لكن الاعتماد على ميزات الأمان الافتراضية لـ Django لا تكفي في مواجهة مُختلف التهديدات المُتزايدة. من الأهمية بمكان تنفيذ تدابير إضافية لتعزيز أمان تطبيقاتك.
من خلال تنفيذ تدابير إضافية ، يُمكنك التخفيف من نقاط الضعف المُحتملة وحماية البيانات الحساسة وحماية تطبيقك من التهديدات الإلكترونية. يضمن ذلك حماية معلومات المستخدمين ويساعد في الحفاظ على سمعة مؤسستك ومصداقيتها. تحقق من أفضل الخطوات لتصبح مطور ناجح للواجهات الخلفية كعامل مُستقل.
تأمين العروض باستخدام Decorator
العروض في Django تُعالج الطلبات الواردة ، فهي وظائف Python التي تأخذ طلبات http وتُعيد استجابة http ، مثل مستندات HTML. حيث تلعب دورًا حيويًا في تحديد الاستجابة التي يحصل عليها العميل. تتحكم طرق العرض الآمنة في الوصول وتحمي الوظائف الحساسة. يُقدم Django بعض الإعدادات التي يُمكنك تطبيقها على العروض لفرض إجراءات أمنية محددة.
@login_required Decorator
يضمن @login_required Decorator أنَّ المستخدمين المُعتمدين فقط هم من يمكنهم الوصول إلى عرض مُعين. عندما يحاول مستخدم غير مصادق الوصول إلى العرض ، يُعيد التطبيق توجيهه إلى صفحة تسجيل الدخول.
from django.contrib.auth.decorators import login_required from django.http import HttpResponse @login_required def secure_view(request): # Your view logic here return HttpResponse(“This is a secure view”)
يضمن تطبيق @login_required Decorator على وظيفة secure_view تلقائيًا مُصادقة المستخدم قبل تنفيذ منطق العرض.
المُزخرفات المُخصصة
يسمح لك Django بإنشاء مُزخرفات (Decorators) مُخصصة. هذا يسمح لك بتنفيذ فحوصات أو قيود أمنية إضافية. على سبيل المثال ، قد ترغب في إنشاء مُزخرف يُقيِّد الوصول إلى أدوار مستخدم محددة.
from functools import wraps from django.http import HttpResponse def admin_only(view_func): @wraps(view_func) def wrapper(request, *args, **kwargs): if request.user.is_superuser: return view_func(request, *args, **kwargs) else: return HttpResponse(“Access Denied”) return wrapper
يتحقق (Decorator) admin_only مما إذا كان المستخدم الذي يصل إلى العرض مُستخدمًا متميزًا. إذا كانت كذلك ، يتم تشغيل وظيفة العرض ، وإلا فإنها تمنع وصول المستخدم.
مصادقة المستخدم والترخيص
مصادقة المستخدم والترخيص من المُكوِّنات الأساسية لتأمين تطبيقات Django. والتي تضمن وصول الشخص المناسب إلى وظائف مُحددة للتطبيق.
مصادقة المستخدم
تتحقق مصادقة المستخدم من هوية الشخص الذي يصل إلى التطبيق الخاص بك. يُوفر نظام المصادقة الخاص بـ Django وظائف للتعامل مع هذا الأمر.
from django.contrib.auth import authenticate, login from django.http import HttpResponse def login_view(request): if request.method == ‘POST’: username = request.POST[‘username’] password = request.POST[‘password’] user = authenticate(request, username=username, password=password) if user is not None: login(request, user) return HttpResponse(“Login successful”) else: return HttpResponse(“Invalid credentials”) else: # Render login form return HttpResponse(“Login form”)
تتولى وظيفة login_view معالجة عملية تسجيل الدخول. عندما يُرسل المستخدم بيانات اعتماده ، تتحقق وظيفة المصادقة منها. إذا كانت بيانات الاعتماد صالحة ، تقوم وظيفة تسجيل الدخول بإنشاء جلسة للمستخدم ، مما يسمح له بالوصول إلى المناطق المحظورة في التطبيق. إذا كانت بيانات الاعتماد خاطئة ، فلن يُنشئ الرمز جلسة.
ترخيص المستخدم
يُحدد ترخيص المستخدم الإجراءات التي يُمكن للمستخدم تنفيذها داخل التطبيق. يُوفر Django نظام أذونات مرنًا يمنحك التحكم في وصول المستخدم.
from django.contrib.auth.decorators import permission_required from django.http import HttpResponse @permission_required(‘polls.can_vote’) def vote(request): # Voting logic here return HttpResponse(“Vote recorded”)
في المثال أعلاه ، يضمن المُزخرف permission_required أنَّ المُستخدمين الذين لديهم إذن الاستطلاعات فقط يُمكنهم الوصول إلى عرض التصويت. إذا حاول مستخدم بدون الإذن اللازم الوصول إلى العرض ، فسيتم رفض وصوله.
تنفيذ البرمجيات الوسيطة المخصصة
توجد البرمجيات الوسيطة بين خادم الويب والعرض. يُضيف تنفيذ البرمجيات الوسيطة المُخصصة فحوصات أمنية إضافية أو يعدل الطلبات والاستجابات. يمكن أن يكون هذا لأسباب مثل فرض HTTPS.
from django.http import HttpResponsePermanentRedirect class EnforceHttpsMiddleware: def __init__(self, get_response): self.get_response = get_response def __call__(self, request): if not request.is_secure(): url = request.build_absolute_uri(request.get_full_path()) secure_url = url.replace(‘http://’, ‘https://’) return HttpResponsePermanentRedirect(secure_url) return self.get_response(request)
تتحقق البرمجيات الوسيطة أعلاه مما إذا كان الطلب يستخدم طريقة is_secure. إذا لم يكن كذلك ، فإنه يُعيد التوجيه إلى إصدار HTTPS من عنوان URL.
تأمين معالجة الملفات
تعتبر معالجة الملفات ميزة شائعة في تطبيقات الويب. إنها تشكل مخاطر أمنية إذا لم يتم تأمينها بشكل صحيح. عند التعامل مع الملفات التي تم تحميلها بواسطة المستخدم ، من المهم التحقق من صحة محتويات الملف. هذا يمنع التحميلات الضارة. يمكنك التحقق من أنواع الملفات باستخدامDjango FileExtensionValidator.
from django.core.validators import FileExtensionValidator from django.forms import forms class FileUploadForm(forms.Form): file = forms.FileField(validators=[FileExtensionValidator(allowed_extensions=[‘pdf’, ‘docx’])])
في مقطع التعليمات البرمجية أعلاه ، تستخدم فئة FileUploadForm FileExtensionValidator للسماح فقط بتحميل ملفات PDF و DOCX. سيرفض التطبيق أي تنسيقات ملفات أخرى أثناء التحميل. قم بتخصيص التنسيقات المسموح بها وفقًا لمتطلبات التطبيق الخاص بك.
حماية CSRF
يُمكنك منع هجمات تزوير الطلب عبر المواقع (CSRF) باستخدام حماية CSRF المدمجة من Django. يجب عليك تضمين رمز CSRF المميز في نموذجك والذي سيتم التحقق من صحته على جانب الخادم.
<form method=”post” action=”/submit-form/”>
{% csrf_token %}
<! — Form fields →
<button type=”submit”>Submit</button>
</form> عند استخدام النموذج % csrf_token % ، يقوم Django بإنشاء حقل إدخال مخفي برمز CSRF. هذا الرمز مُميز لكل جلسة مستخدم. يساعد في التحقق من صحة النموذج المقدم.
يتحقق جانب الخادم من رمز CSRF عند معالجة إرسال النموذج. إذا كان الرمز المميز مفقودًا أو غير صالح ، فإنَّ Django يثير خطأ محظور (HTTP 403). من الضروري التأكد من أنَّ تطبيقك في مأمن من هذا النوع من الثغرات الأمنية. تحقق من كيفية منع ثغرات وحدات رفع الملفات.
كتابة نماذج آمنة
عند إنشاء النماذج ، من المُهم التعامل مع مدخلات المستخدم بأمان. هذا لمنع الثغرات الأمنية الشائعة مثل حقن SQL وهجمات XSS. يوجد أدناه مثال يوضح كيف يمكنك إنشاء نموذج آمن في Django.
from django import forms from django.utils.html import escape class SecureForm(forms.Form): name = forms.CharField(max_length=100) email = forms.EmailField() def clean_name(self): name = self.cleaned_data[‘name’] # Sanitize user input sanitized_name = escape(name) return sanitized_name def clean_email(self): email = self.cleaned_data[‘email’] # Validate and sanitize user input if not email.endswith(‘@example.com’): raise forms.ValidationError(“Invalid email domain”) sanitized_email = escape(email) return sanitized_email
تقوم أساليب clean_name و clean_email بالتحقق من صحة إدخال المستخدم وتعقيمه. تستخدم طريقة clean_name وظيفة الهروب لتعقيم إدخال الاسم ومنع هجمات XSS المحتملة.
تقوم طريقة clean_email بالتحقق من صحة تنسيق البريد الإلكتروني وتقيد نطاق البريد الإلكتروني على example.com. يؤدي إلى “خطأ في التحقق من الصحة” إذا كان البريد الإلكتروني لا يفي بالمعايير المحددة. يعمل هذا الإجراء على تحسين أمان النماذج وحمايتها من الثغرات الأمنية الشائعة. تحقق من ما هو حقن البرمجيات الخبيثة في العمليات وكيف يُمكنك منعه؟
من المهم فهم ثغرات تطبيق الويب
سيُساعدك فهم نقاط الضعف في تطبيقات الويب على تأمين تطبيقك. سيفعل ذلك من خلال مساعدتك في تحديد ومعالجة نقاط الضعف المحتملة في التطبيق. سيؤدي هذا بدوره إلى تقليل احتمالية نجاح الهجمات بشكل كبير. يُمكنك الإطلاع الآن على ما هي حافة خدمة السلامة (SSE) ولماذا هي مُهمة؟
