Elixir Plug安全防护CSRF保护、SSL强制与基础认证的终极教程【免费下载链接】plugCompose web applications with functions项目地址: https://gitcode.com/gh_mirrors/pl/plugElixir Plug 是一个强大的 Web 应用构建工具提供了全面的安全防护功能。本教程将深入解析 Plug 的三大核心安全模块CSRF 保护、SSL 强制和基础认证帮助你构建坚不可摧的 Web 应用防护体系。无论你是 Elixir 新手还是有经验的开发者这篇完整指南都将为你提供实用的安全配置技巧和最佳实践。 CSRF 保护防止跨站请求伪造攻击CSRFCross-Site Request Forgery保护是 Web 应用安全的第一道防线。Elixir Plug 的Plug.CSRFProtection模块提供了强大的 CSRF 防护机制能够有效防止恶意网站利用用户已认证的会话执行未经授权的操作。快速启用 CSRF 保护在你的路由管道中添加 CSRF 保护非常简单plug Plug.Session, ... plug :fetch_session plug Plug.CSRFProtectionCSRF 保护模块会自动验证每个非 GET 请求中的 CSRF 令牌确保请求来自合法的源。令牌可以通过_csrf_token参数或x-csrf-token请求头传递。高级配置选项Plug.CSRFProtection提供了灵活的配置选项:with- 指定无效请求的处理方式:exception默认抛出异常或:clear_session清除会话:allow_hosts- 允许的主机列表支持完整主机名或主机后缀:session_key- 会话中存储令牌的键名令牌管理与安全实践# 获取 CSRF 令牌用于表单 token Plug.CSRFProtection.get_csrf_token() # 为特定 URL 生成令牌防止跨主机攻击 token Plug.CSRFProtection.get_csrf_token_for(https://example.com/path) # 用户登录后删除旧令牌防止 CSRF 固定攻击 Plug.CSRFProtection.delete_csrf_token()重要提示始终在用户登录后调用delete_csrf_token/0这是防止 CSRF 固定攻击的关键步骤。 SSL 强制与 HSTS确保安全传输Plug.SSL模块负责强制使用 HTTPS 连接并启用 HSTSHTTP Strict Transport Security确保所有通信都经过加密。基本 SSL 配置# 强制所有连接使用 HTTPS plug Plug.SSL # 自定义配置 plug Plug.SSL, rewrite_on: [:x_forwarded_host, :x_forwarded_port, :x_forwarded_proto], hsts: true, expires: 31_536_000, # 1年 preload: false, subdomains: false排除特定请求有时需要排除某些请求的 SSL 重定向plug Plug.SSL, exclude: [ hosts: [localhost, 127.0.0.1, 192.168.1.1], paths: [/health, /status] ]TLS 加密套件配置Plug.SSL.configure/1函数提供了预配置的加密套件:strong- 仅支持 TLSv1.3提供最高安全性:compatible- 支持 TLSv1.2 和 TLSv1.3兼顾兼容性# 在适配器配置中使用 {:ok, ssl_options} Plug.SSL.configure([ certfile: path/to/cert.pem, keyfile: path/to/key.pem, cipher_suite: :compatible ]) 基础认证简单的访问控制Plug.BasicAuth提供了基本的 HTTP 认证功能适合内部工具、管理界面或 API 的简单保护。静态凭证配置import Plug.BasicAuth plug :basic_auth, username: admin, password: secret运行时凭证管理plug :auth defp auth(conn, _opts) do username System.fetch_env!(AUTH_USERNAME) password System.fetch_env!(AUTH_PASSWORD) Plug.BasicAuth.basic_auth(conn, username: username, password: password) end自定义认证逻辑对于更复杂的认证需求可以使用底层 APIplug :auth defp auth(conn, _opts) do with {user, pass} - Plug.BasicAuth.parse_basic_auth(conn), %User{} user - MyApp.Accounts.find_by_username_and_password(user, pass) do assign(conn, :current_user, user) else _ - conn | Plug.BasicAuth.request_basic_auth() | halt() end end重要提示比较用户名和密码时务必使用Plug.Crypto.secure_compare/2而不是/2以防止时序攻击。️ 综合安全配置示例下面是一个完整的 Phoenix 应用安全配置示例# lib/my_app_web/endpoint.ex defmodule MyAppWeb.Endpoint do use Phoenix.Endpoint, otp_app: :my_app # SSL 强制生产环境 if Mix.env() :prod do plug Plug.SSL, rewrite_on: [:x_forwarded_proto], hsts: true, exclude: [paths: [/health]] end # 会话和 CSRF 保护 plug Plug.Session, store: :cookie, key: _my_app_key, signing_salt: signing_salt plug :fetch_session plug Plug.CSRFProtection # 基础认证仅用于管理界面 plug :admin_auth defp admin_auth(conn, _opts) do if conn.request_path ~ ~r^/admin do Plug.BasicAuth.basic_auth(conn, username: System.get_env(ADMIN_USER), password: System.get_env(ADMIN_PASS), realm: Admin Area ) else conn end end end 核心安全模块文件位置CSRF 保护lib/plug/csrf_protection.exSSL 强制lib/plug/ssl.ex基础认证lib/plug/basic_auth.ex测试文件test/plug/csrf_protection_test.exs、test/plug/ssl_test.exs、test/plug/basic_auth_test.exs 安全最佳实践总结始终启用 CSRF 保护任何使用会话的应用都应启用 CSRF 保护强制使用 HTTPS生产环境必须强制 SSL并启用 HSTS使用安全密码比较认证时使用Plug.Crypto.secure_compare/2定期轮换密钥定期更新会话签名密钥和 CSRF 令牌监控安全日志关注 CSRF 和认证失败的日志记录测试安全配置使用test/目录中的测试文件验证安全功能 常见问题与解决方案Q: CSRF 保护导致 AJAX 请求失败A: 确保在 AJAX 请求中包含 CSRF 令牌可以通过 meta 标签或 JavaScript 全局变量提供令牌。Q: SSL 重定向循环A: 检查代理配置确保正确设置了x-forwarded-proto头并在Plug.SSL中配置rewrite_on: [:x_forwarded_proto]。Q: 基础认证不生效A: 确保Plug.BasicAuth放置在会话中间件之后因为浏览器需要会话来保持认证状态。通过合理配置 Elixir Plug 的安全模块你可以构建出既安全又易于维护的 Web 应用。记住安全是一个持续的过程需要定期审查和更新配置以应对新的威胁。现在就开始加固你的应用吧【免费下载链接】plugCompose web applications with functions项目地址: https://gitcode.com/gh_mirrors/pl/plug创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考