• en
  • Language: ru
  • Documentation version: 3

Безопасность

Здесь рассматривается базовая безопасность для протоколов, которые вы обслуживаете через каналы и помощников, которые мы предоставляем.

WebSockets

WebSockets начинают свою жизнь как HTTP-запрос, включая все куки и заголовки, и поэтому вы можете использовать стандартный код Аутентификация для захвата текущих сессий и проверки идентификаторов пользователей.

Однако при использовании WebSockets также существует риск подделки межсайтовых запросов (CSRF), поскольку они могут быть инициированы с любого сайта в Интернете на ваш домен, и при этом у пользователя останутся куки и сессия с вашего сайта. Если вы передаете частные данные по сокету, вам следует ограничить сайты, которым разрешено открывать сокеты для вас.

Это делается с помощью пакета channels.security.websocket и двух содержащихся в нем промежуточных программ ASGI, OriginValidator и AllowedHostsOriginValidator.

OriginValidator позволяет вам ограничить допустимые варианты заголовка Origin, который отправляется с каждым WebSocket, чтобы указать, откуда он пришел. Просто оберните его вокруг кода вашего приложения WebSocket следующим образом и передайте ему список допустимых доменов в качестве второго аргумента. Вы можете передать только один домен (например, .allowed-domain.com) или полное происхождение в формате scheme://domain[:port] (например, http://allowed-domain.com:80). Порт необязателен, но рекомендуется:

from channels.security.websocket import OriginValidator

application = ProtocolTypeRouter({

    "websocket": OriginValidator(
        AuthMiddlewareStack(
            URLRouter([
                ...
            ])
        ),
        [".goodsite.com", "http://.goodsite.com:80", "http://other.site.com"],
    ),
})

Примечание: Если вы хотите разрешить любой домен, то используйте origin *.

Часто набор доменов, которые вы хотите ограничить, совпадает с настройкой Django ALLOWED_HOSTS, которая выполняет аналогичную проверку безопасности для заголовка Host, и поэтому AllowedHostsOriginValidator позволяет вам использовать эту настройку без необходимости повторно объявлять список:

from channels.security.websocket import AllowedHostsOriginValidator

application = ProtocolTypeRouter({

    "websocket": AllowedHostsOriginValidator(
        AuthMiddlewareStack(
            URLRouter([
                ...
            ])
        ),
    ),
})

AllowedHostsOriginValidator также будет автоматически разрешать локальные соединения, если сайт находится в режиме DEBUG, подобно проверке хоста в Django.