确保 Sinatra 应用程序安全的最佳实践是什么？

Question

保护使用多种不同形式和 mongodb 作为数据库的 Sinatra 应用程序的最佳实践是什么？

Answer 1

不确定您在寻找什么。以下是一些想法。

如果您想验证系统的用户，我建议使用在机架层运行的身份验证，例如 Warden。这不仅可能比自定义身份验证解决方案更强大，而且它作为中间件运行，因此它基本上是透明的，并且如果您决定向 Rack 堆栈添加其他中间件、自定义 Rack 应用程序或 Rails，则可以在 Sinatra 之外使用。

mongodb 的运行方式（命令与数据分离）意味着不太可能发生注入，因此对用户输入进行一些最低限度的健全性检查应该可以使数据库泄露的风险相当低。与任何数据库一样，最好的做法是，在没有适当的边界检查和转义的情况下，永远不要将用户的任何数据直接放入数据库中。

确保用户不能输入其他用户可以看到的 HTML/JS/CSS，否则您的网站可能容易受到 XSS 攻击。

如果可能的话，明确定义允许用户选择的所有可能输入，然后确保您从用户收到的输入与您定义的可能值之一完全匹配。如果不是，则拒绝输入或选择一个合理的默认值。

良好的单元测试和广泛的测试覆盖范围通常可以帮助减少意外行为，有时可以用来帮助防止安全问题。尝试一下。当然不会受伤。

另一个可以从侧面有益于安全的好做法是不要重新发明轮子。采用社区其他成员所依赖的经过验证的、可靠的、功能强大的解决方案，这样您就可以从其他人的见解中受益，并在其他人发现并修复您使用的库中的安全缺陷时获得回报。

您可能需要解决许多其他系统、数据库和应用程序级别的问题，以确保您的应用程序安全。如果不深入了解完整的系统架构，您的问题范围有点太宽泛，无法回答。

Answer 2

表单

如果您有表单，您绝对应该使用真实性令牌，以避免跨站点请求伪造。查看 Sinatra 的 rack_csrf gem。

Cookies / Sessions

如果您启用了会话，由于 Sinatra 实现了基于 cookie 的会话，您应该检查 encrypted_cookie gem作为使用 256 位 AES 算法加密 Sinatra 会话的方法。

最后但并非最不重要的一点是始终使用 HTTPS

阅读