在前面的章节中,有关于使用各种工具实现web2py的完整信息.从用户的角度来看,开发web2py应用程序的主要问题包括安全性.
web2py的独特功能如下 :
用户可以轻松学习实施.它不需要安装和依赖.
自推出之日起它一直保持稳定.
web2py是轻量级的,包含用于数据抽象层和模板语言的库.
它可以在Web服务器网关接口的帮助下工作,它充当了Web服务器和应用程序之间的通信.
打开Web应用程序安全项目(OWASP)是一个社区,它列出了Web的安全漏洞应用程序.
关于OWASP,下面讨论与Web应用程序相关的问题以及web2py如何克服这些问题.
它也称为XSS.只要应用程序获取用户提供的数据并将其发送到用户的浏览器而不编码或验证内容,就会发生这种情况.攻击者使用跨侧脚本执行脚本来注入蠕虫和病毒.
web2py通过阻止视图中的所有渲染变量来帮助防止XSS.
有时,应用程序泄露有关内部工作,隐私和配置的信息.攻击者使用它来破坏敏感数据,这可能会导致严重的攻击.
web2py通过票务系统阻止这种情况.它记录所有错误,并将票证发给正在注册其错误的用户.只有管理员才能访问这些错误.
帐户凭据通常不受保护.攻击者利用密码,身份验证令牌来窃取用户的身份.
web2py提供了一种管理界面机制.当客户端不是"localhost"时,它还强制使用安全会话.
有时应用程序无法加密网络流量.有必要管理流量以保护敏感通信.
web2py提供SSL启用的证书以提供通信加密.这也有助于保持敏感的通信.
Web应用程序通常会通过阻止显示链接和URL来保护敏感功能一些用户.攻击者可以通过使用某些信息操纵URL来尝试破坏某些敏感数据.
在wb2py中,URL映射到模块和函数而不是给定文件.它还包括一个机制,它指定哪些功能是公共的,哪些功能是私有的.这有助于解决问题.
