我正在自学网络开发。直到最近,我的应用程序只与Twilio等第三方API进行了通信,没有用户前端。我喜欢CherryPy,因为它很简单,不会妨碍我。
我想构建一个具有一些动态功能的静态个人网站。我计划使用CherryPy来提供HTML,并处理来自jQuery的AJAX请求,为电子邮件联系表单之类的东西提供交互式和可访问的UI。
但是,我有一些安全问题。我来自系统管理背景;所以我知道可能使用的各种攻击媒介(XSS / CSRF等)。我也知道CherryPy does not provide protection out of the box.我已经计划用reCaptcha保护联系表格。我还可以做些什么?是否有Python / CherryPy的表单库提供一些基本的过滤保护?我是否可以使用免费工具来测试我的应用程序是否存在此类漏洞?
答案 0 :(得分:4)
我发现在你的邮件表单中添加一些自制的技巧比开箱即用的验证码更好。我在表单中添加了一个隐藏的输入字段,名为“email”。机器人将剥离您的页面并尝试在所有输入字段中输入合理的值。如果他们在此隐藏字段中输入值,您可以确定您正在处理机器人。 我发现这个技巧工作得非常好。
答案 1 :(得分:0)
我建议Basic Authentication,除非您希望外部用户访问它。否则,我会接受GolezTrol的建议。