امنیت در جنگو

امنیت یکی از مهم‌ترین جنبه‌های توسعه برنامه‌های وب است و جنگو (Django) به طور پیش‌فرض مجموعه‌ای از ابزارهای امنیتی برای محافظت در برابر انواع تهدیدات رایج در وب ارائه می‌دهد. جنگو با تمرکز بر امنیت طراحی شده است و بسیاری از حملات رایج را به طور خودکار در برنامه‌های وب مبتنی بر آن محافظت می‌کند.

۱. محافظت در برابر حملات Cross-Site Scripting (XSS)

XSS زمانی رخ می‌دهد که مهاجم بتواند اسکریپت‌های مخرب را در صفحات وب اجرا کند. جنگو به طور پیش‌فرض تمامی داده‌های ورودی را Escape می‌کند (یعنی کاراکترهای خاص را به کد HTML معادل خود تبدیل می‌کند) تا از اجرای کدهای جاوااسکریپت مخرب جلوگیری کند.

برای مثال، در هنگام نمایش داده‌ها در قالب‌ها (templates)، جنگو به صورت خودکار کاراکترهای خاص مانند <, >, و & را تبدیل به کدهای HTML می‌کند و این از اجرای کدهای جاوااسکریپت یا HTML خطرناک جلوگیری می‌کند.

مثال:

<p>{{ user_input }}</p>

در اینجا، اگر کاربر چیزی مانند <script>alert('XSS');</script> وارد کند، جنگو آن را به شکل ایمن <p><script>alert('XSS');</script></p> نمایش می‌دهد و از اجرای اسکریپت جلوگیری می‌کند.

۲. محافظت در برابر حملات Cross-Site Request Forgery (CSRF)

CSRF حمله‌ای است که در آن مهاجم کاربر را مجبور می‌کند درخواست‌های مخربی به سرور ارسال کند که به جای کاربر معتبر انجام می‌شود. جنگو به طور پیش‌فرض از CSRF token برای جلوگیری از این نوع حملات استفاده می‌کند. برای محافظت در برابر CSRF، جنگو یک توکن مخفی به هر فرم اضافه می‌کند که باید همراه با درخواست ارسال شود. این توکن فقط برای همان کاربر معتبر است و درخواست‌های بدون توکن معتبر رد می‌شوند.

برای فعال کردن CSRF در جنگو، باید تگ {% csrf_token %} را در فرم‌های HTML قرار دهید:

مثال:

<form method="post">

    {% csrf_token %}

    <input type="text" name="username">

    <button type="submit">Submit</button>

</form>

۳. محافظت در برابر SQL Injection

SQL Injection نوعی حمله است که مهاجم از طریق وارد کردن کد SQL مخرب در ورودی‌ها سعی می‌کند به پایگاه داده دسترسی پیدا کند. جنگو به طور پیش‌فرض از QuerySet برای تعامل با پایگاه داده استفاده می‌کند و از پارامترهای جایگزین (parameterized queries) استفاده می‌کند که به طور خودکار از حملات SQL Injection جلوگیری می‌کند.

مثال:

# درست

User.objects.filter(username=user_input)

# اشتباه (مستعد SQL Injection)

cursor.execute("SELECT * FROM users WHERE username='%s'" % user_input)

در مثال اول، جنگو به طور خودکار از پارامترهای امن استفاده می‌کند تا داده‌های ورودی را ایمن کند.

۴. محافظت در برابر حملات Clickjacking

Clickjacking یک نوع حمله است که در آن مهاجم با استفاده از فریم‌ها یا iframe‌ها کاربران را به کلیک کردن بر روی بخش‌های پنهان یا تغییر مسیر داده شده مجبور می‌کند. جنگو به طور پیش‌فرض برای محافظت از این نوع حملات، هدرهای HTTP مناسب را ارسال می‌کند.

برای جلوگیری از این حملات، می‌توانید تنظیمات مربوط به X-Frame-Options را فعال کنید تا از بارگذاری سایت در داخل فریم‌ها جلوگیری شود:

در settings.py:

X_FRAME_OPTIONS = 'DENY'

این تنظیم به مرورگرها می‌گوید که سایت نباید در فریم‌ها یا iframe‌های دیگر بارگذاری شود.

۵. استفاده از HTTPS و امنیت در ارتباطات

HTTPS یک پروتکل امن برای انتقال داده‌ها بین کاربر و سرور است که از SSL/TLS برای رمزگذاری داده‌ها استفاده می‌کند. جنگو به شما این امکان را می‌دهد که در محیط تولید تنها از HTTPS استفاده کنید و از ارسال داده‌ها به صورت غیر رمزگذاری‌شده جلوگیری کنید.

برای اجبار به استفاده از HTTPS، می‌توانید در settings.py از گزینه SECURE_SSL_REDIRECT استفاده کنید:

SECURE_SSL_REDIRECT = True

این تنظیم باعث می‌شود که تمامی درخواست‌های HTTP به HTTPS هدایت شوند.

۶. مدیریت سشن‌ها و کوکی‌ها

جنگو به طور پیش‌فرض از کوکی‌ها برای مدیریت سشن‌ها استفاده می‌کند. برای افزایش امنیت، جنگو ویژگی‌های مختلفی را برای محافظت از سشن‌ها و کوکی‌ها ارائه می‌دهد:

SESSION_COOKIE_SECURE: این گزینه باعث می‌شود که کوکی‌های سشن تنها از طریق HTTPS ارسال شوند.
CSRF_COOKIE_SECURE: مشابه ویژگی قبلی، این ویژگی باعث می‌شود که توکن‌های CSRF تنها از طریق HTTPS ارسال شوند.
SESSION_EXPIRE_AT_BROWSER_CLOSE: این ویژگی باعث می‌شود که سشن‌ها پس از بسته شدن مرورگر به طور خودکار منقضی شوند.

برای فعال کردن این ویژگی‌ها در settings.py:

SESSION_COOKIE_SECURE = True

CSRF_COOKIE_SECURE = True

SESSION_EXPIRE_AT_BROWSER_CLOSE = True

۷. استفاده از اعتبارسنجی و مجوزها

جنگو به طور پیش‌فرض ابزارهایی برای اعتبارسنجی داده‌ها و مدیریت مجوزها ارائه می‌دهد تا از دسترسی‌های غیرمجاز جلوگیری کند. به عنوان مثال، شما می‌توانید از ویژگی‌های Permissions و Groups برای محدود کردن دسترسی به بخش‌های مختلف سایت استفاده کنید.

در مدل‌ها و ویوها، می‌توانید به راحتی از ویژگی‌های permission_classes برای کنترل دسترسی استفاده کنید:

مثال:

from rest_framework.permissions import IsAuthenticated

class MyView(APIView):

    permission_classes = [IsAuthenticated]

    def get(self, request):

        # پردازش درخواست

۸. استفاده از امنیت در فرم‌ها

برای جلوگیری از حملات مانند Mass Assignment و محافظت از تغییرات غیرمجاز داده‌ها در هنگام ارسال فرم‌ها، جنگو از فیلترهای فرم و اعتبارسنجی داده‌ها به طور پیش‌فرض استفاده می‌کند. برای محافظت از فرم‌ها، باید اطمینان حاصل کنید که داده‌هایی که از کاربر دریافت می‌کنید، به درستی اعتبارسنجی و فیلتر شوند.

۹. مراقبت از پسوردها

جنگو از هشینگ پسورد برای ذخیره پسوردها استفاده می‌کند. به جای ذخیره کردن پسورد به صورت متنی، جنگو پسورد را با استفاده از الگوریتم‌های امنیتی مانند PBKDF2، bcrypt و SHA1 هش کرده و ذخیره می‌کند.

برای بهینه‌سازی امنیت پسوردها، می‌توانید در تنظیمات settings.py الگوریتم‌های خاصی را انتخاب کنید.

PASSWORD_HASHERS = [

    'django.contrib.auth.hashers.PBKDF2PasswordHasher',

    'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',

]

نتیجه‌گیری

جنگو ابزارهای امنیتی قدرتمندی را به صورت پیش‌فرض فراهم می‌کند که به طور خودکار از برنامه شما در برابر بسیاری از حملات رایج محافظت می‌کند. این ابزارها شامل محافظت در برابر حملات XSS، CSRF، SQL Injection، Clickjacking و بسیاری دیگر است. با استفاده از تنظیمات مناسب در settings.py و بهترین شیوه‌های امنیتی، می‌توانید امنیت برنامه‌های جنگویی خود را به حد بالایی برسانید.