Flask একটি শক্তিশালী এবং নমনীয় ওয়েব ফ্রেমওয়ার্ক হলেও, সুরক্ষিত অ্যাপ্লিকেশন তৈরি করতে কিছু নিরাপত্তা পদক্ষেপ অনুসরণ করা অত্যন্ত জরুরি। ওয়েব অ্যাপ্লিকেশনের নিরাপত্তা ব্যবস্থাপনা না করলে সেগুলি সহজেই সাইবার আক্রমণের শিকার হতে পারে। Flask অ্যাপ্লিকেশন তৈরি করার সময় কিছু সিকিউরিটি বেস্ট প্র্যাকটিস (Best Practices) অনুসরণ করা উচিত।
এখানে Flask অ্যাপ্লিকেশনে নিরাপত্তা নিশ্চিত করার জন্য কিছু গুরুত্বপূর্ণ পদক্ষেপ আলোচনা করা হলো:
১. সিক্রেট কীগুলি সুরক্ষিত রাখা (Secret Key)
Flask অ্যাপ্লিকেশনের Secret Key অ্যাপ্লিকেশনের সেশন এবং অন্যান্য নিরাপত্তা বৈশিষ্ট্য পরিচালনা করতে ব্যবহৃত হয়। এটি খুবই গুরুত্বপূর্ণ যে এই কীগুলি সুরক্ষিতভাবে রাখা উচিত।
সুরক্ষিত Secret Key সেট করা:
- Flask অ্যাপ্লিকেশনে Secret Key সরাসরি কোডে না লিখে পরিবেশ ভেরিয়েবল ব্যবহার করুন।
import os
app = Flask(__name__)
app.secret_key = os.getenv('FLASK_SECRET_KEY', 'default_secret_key')
- কখনই Secret Key কাস্টম কোডে হার্ডকোড করবেন না। এটি নিরাপত্তার জন্য বড় ধরনের ঝুঁকি সৃষ্টি করতে পারে।
২. টেস্টিং মুডে অ্যাপ চালানো থেকে বিরত থাকা
Flask ডেভেলপমেন্ট মোডে (debug mode) চালালে এটি অনেক নিরাপত্তা ঝুঁকি তৈরি করতে পারে। ডিবাগ মোডে Flask ত্রুটি বার্তা এবং অন্যান্য গুরুত্বপূর্ণ তথ্য প্রদর্শন করে, যা হ্যাকারদের জন্য অ্যাপ্লিকেশনের দুর্বলতা খুঁজে বের করা সহজ করে তোলে।
ডেভেলপমেন্ট মোডে অ্যাপ চালানোর ক্ষেত্রে সতর্কতা:
export FLASK_ENV=production # Mac/Linux
set FLASK_ENV=production # Windows
Flask অ্যাপ চালানোর সময় ডিবাগ মোড নিষ্ক্রিয় রাখুন।
app.run(debug=False)
৩. সেশন সুরক্ষা (Session Security)
Flask সেশন ডেটা ক্লায়েন্টের ব্রাউজারে কুকির মাধ্যমে সংরক্ষণ করে। সুতরাং, সেশন ডেটা সুরক্ষিত রাখা খুবই গুরুত্বপূর্ণ।
সেশন সুরক্ষা নিশ্চিত করা:
- Secure cookies ব্যবহার করুন: Flask-এ সেশন কুকি এনক্রিপ্টেড রাখতে
SESSION_COOKIE_SECUREসেট করা উচিত, বিশেষ করে যখন অ্যাপ HTTPS এ চলছে।
app.config['SESSION_COOKIE_SECURE'] = True
SESSION_COOKIE_HTTPONLYএবংSESSION_COOKIE_SAMESITEসেট করুন:SESSION_COOKIE_HTTPONLY: কুকি শুধুমাত্র HTTP রিকোয়েস্টের মাধ্যমে অ্যাক্সেস করা যাবে (JavaScript দ্বারা নয়)।SESSION_COOKIE_SAMESITE: Cross-site request forgery (CSRF) আক্রমণ রোধ করতে এটি ব্যবহার করুন।
app.config['SESSION_COOKIE_HTTPONLY'] = True
app.config['SESSION_COOKIE_SAMESITE'] = 'Lax'
৪. CSRF (Cross-Site Request Forgery) রোধ
Flask-এ CSRF আক্রমণ রোধ করার জন্য Flask-WTF এক্সটেনশন ব্যবহার করা যায়, যা ফর্মগুলিতে অটোমেটিক CSRF টোকেন প্রদান করে।
Flask-WTF ইনস্টল এবং CSRF সুরক্ষা:
প্রথমে Flask-WTF ইনস্টল করুন:
pip install flask-wtfতারপর Flask অ্যাপে CSRF সুরক্ষা ব্যবহার করুন:
from flask_wtf.csrf import CSRFProtect app = Flask(__name__) csrf = CSRFProtect(app)ফর্মে CSRF টোকেন ব্যবহার:
<form method="POST"> {{ form.hidden_tag() }} <!-- ফর্ম ফিল্ডস --> </form>
৫. SQL Injection রোধ
Flask সাধারণত SQLAlchemy বা Flask-SQLAlchemy এর মতো ORM (Object-Relational Mapping) টুল ব্যবহার করে ডাটাবেসের সাথে যোগাযোগ করে। ORM ব্যবহার করলে SQL ইনজেকশন আক্রমণ রোধ করা সহজ হয়।
SQLAlchemy ব্যবহার করা:
SQLAlchemy ইনস্টল করুন:
pip install flask-sqlalchemy- ডাটাবেসে নিরাপদভাবে কোয়েরি চালাতে ORM ব্যবহার করুন, যেমন:
from flask_sqlalchemy import SQLAlchemy
app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///site.db'
db = SQLAlchemy(app)
class User(db.Model):
id = db.Column(db.Integer, primary_key=True)
username = db.Column(db.String(120), unique=True, nullable=False)
# নিরাপদ কোয়েরি উদাহরণ
user = User.query.filter_by(username='john').first()
৬. XSS (Cross-Site Scripting) আক্রমণ রোধ
Flask টেমপ্লেট ইঞ্জিন Jinja2 স্বয়ংক্রিয়ভাবে আউটপুট এক্সট্র্যাক্ট করে এবং নিরাপদ HTML রেন্ডারিং নিশ্চিত করে। অর্থাৎ, Jinja2 ফাংশনগুলি ডিফল্টভাবে HTML escaping করে, যা XSS আক্রমণ প্রতিরোধ করে।
XSS আক্রমণ রোধ করার জন্য Jinja2 এর নিরাপত্তা সুবিধা:
<p>{{ user_input }}</p>
এখানে {{ user_input }} ব্যবহার করলে এটি সুরক্ষিত হয়ে যাবে, অর্থাৎ HTML ইনজেকশন এড়ানো যাবে।
৭. HTTP Security Headers
Flask অ্যাপে নিরাপত্তা নিশ্চিত করার জন্য কিছু গুরুত্বপূর্ণ HTTP headers যোগ করা উচিত, যেমন Content Security Policy (CSP), X-Content-Type-Options, Strict-Transport-Security (HSTS) ইত্যাদি।
উদাহরণ:
@app.after_request
def apply_security_headers(response):
response.headers["X-Content-Type-Options"] = "nosniff"
response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains"
response.headers["X-Frame-Options"] = "DENY"
response.headers["Content-Security-Policy"] = "default-src 'self'"
return response
এটি HTTP হেডারে নিরাপত্তা যুক্ত করে।
৮. Password Storage
ব্যবহারকারীর পাসওয়ার্ড সুরক্ষিতভাবে সংরক্ষণ করা গুরুত্বপূর্ণ। পাসওয়ার্ড সংরক্ষণের জন্য bcrypt বা werkzeug লাইব্রেরি ব্যবহার করুন।
উদাহরণ:
bcrypt ইনস্টল করা:
pip install bcrypt- পাসওয়ার্ড হ্যাশ করা এবং যাচাই করা:
import bcrypt
# পাসওয়ার্ড হ্যাশ করা
hashed_password = bcrypt.hashpw('user_password'.encode('utf-8'), bcrypt.gensalt())
# পাসওয়ার্ড যাচাই করা
if bcrypt.checkpw('user_password'.encode('utf-8'), hashed_password):
print("পাসওয়ার্ড মিলে গেছে!")
৯. Flask-এ SSL (HTTPS) সক্রিয় করা
আপনার Flask অ্যাপ্লিকেশনকে HTTPS-এ চালাতে, SSL (Secure Socket Layer) ব্যবহার করা উচিত। এটি সুরক্ষিত যোগাযোগের জন্য গুরুত্বপূর্ণ।
উদাহরণ:
app.run(ssl_context='adhoc') # স্বয়ংক্রিয় SSL
এটি Flask অ্যাপে SSL সক্রিয় করবে। প্রোডাকশন পরিবেশে একটি বৈধ SSL সার্টিফিকেট ব্যবহার করুন।
Flask অ্যাপ্লিকেশন তৈরি করার সময় নিরাপত্তা একটি গুরুত্বপূর্ণ বিষয়। Flask-এ সুরক্ষা নিশ্চিত করার জন্য বিভিন্ন best practices অনুসরণ করা উচিত, যেমন সিক্রেট কীগুলি সুরক্ষিত রাখা, CSRF আক্রমণ রোধ, পাসওয়ার্ড নিরাপদভাবে সংরক্ষণ, XSS এবং SQL ইনজেকশন রোধ, এবং সেশন সুরক্ষা নিশ্চিত করা। এইসব নিরাপত্তা পদক্ষেপগুলি আপনার Flask অ্যাপ্লিকেশনকে সুরক্ষিত এবং নির্ভরযোগ্য করবে।
Flask অ্যাপ্লিকেশনকে নিরাপদ (secure) করতে HTTPS (Hypertext Transfer Protocol Secure) এবং SSL/TLS (Secure Sockets Layer/Transport Layer Security) ব্যবহার করা হয়। HTTPS যোগাযোগের জন্য SSL/TLS এনক্রিপশন প্রটোকল ব্যবহার করে, যা ডেটার সুরক্ষা এবং প্রাইভেসি নিশ্চিত করে। এটি বিশেষভাবে গুরুত্বপূর্ণ যখন অ্যাপ্লিকেশনটি ব্যবহারকারীদের গোপনীয় তথ্য (যেমন পাসওয়ার্ড, ক্রেডিট কার্ড ইনফরমেশন) গ্রহণ বা প্রক্রিয়া করে।
Flask অ্যাপ্লিকেশনকে HTTPS তে চালাতে হলে SSL সার্টিফিকেট ইনস্টল এবং কনফিগার করতে হয়। Flask ডিফল্টভাবে HTTPS সমর্থন করে না, তবে আপনি কিছু কনফিগারেশন এবং সার্টিফিকেট ব্যবহার করে এটি সেটআপ করতে পারেন।
১. SSL সার্টিফিকেট কেন প্রয়োজন?
SSL সার্টিফিকেট একটি ডিজিটাল সার্টিফিকেট যা সার্ভার এবং ক্লায়েন্টের মধ্যে নিরাপদ সংযোগের জন্য ব্যবহৃত হয়। এটি গোপনীয় তথ্য এনক্রিপ্ট করে, যাতে এটি তৃতীয় পক্ষের দ্বারা পড়া বা হ্যাক না করা যায়। HTTPS ব্যবহার না করা হলে, ডেটা ট্রান্সমিশন হতে পারে ঝুঁকিপূর্ণ।
২. SSL/TLS সার্টিফিকেট পাওয়া
আপনার Flask অ্যাপ্লিকেশনকে HTTPS চালানোর জন্য একটি SSL সার্টিফিকেট প্রয়োজন। আপনি সার্টিফিকেট দুটি পদ্ধতিতে পেতে পারেন:
- Self-Signed Certificate: ডেভেলপমেন্ট বা টেস্টিং পরিবেশে আপনি একটি self-signed certificate তৈরি করতে পারেন।
- CA (Certificate Authority) সার্টিফিকেট: প্রোডাকশন পরিবেশে একটি বিশ্বস্ত সার্টিফিকেট প্রদানকারী (যেমন Let's Encrypt) থেকে সার্টিফিকেট ক্রয় বা ইস্যু করতে পারেন।
৩. Self-Signed Certificate তৈরি করা
ডেভেলপমেন্ট বা টেস্টিং উদ্দেশ্যে আপনি self-signed certificate তৈরি করতে পারেন। তবে এটি প্রোডাকশনে ব্যবহারের জন্য সুপারিশ করা হয় না কারণ এটি একটি বিশ্বস্ত সার্টিফিকেট অথরিটি দ্বারা স্বাক্ষরিত নয়।
Self-Signed SSL সার্টিফিকেট তৈরি করা:
OpenSSL ব্যবহার করে SSL সার্টিফিকেট তৈরি করুন:
openssl req -x509 -newkey rsa:4096 -keyout private.key -out certificate.crt -days 365private.key: এটি আপনার গোপন কীগুলি সংরক্ষণ করবে।certificate.crt: এটি পাবলিক সার্টিফিকেট ফাইল।-days 365: সার্টিফিকেটের বৈধতার সময়কাল নির্ধারণ করে (এখানে ১ বছর)।
- সার্টিফিকেট ফাইলগুলি আপনার Flask প্রজেক্টে রাখুন (যেমন
ssl/ফোল্ডারে)।
৪. Flask অ্যাপ্লিকেশনে SSL/TLS সেটআপ করা
SSL সার্টিফিকেট সেটআপ করার জন্য Flask অ্যাপ্লিকেশনটি একটি নিরাপদ কানেকশনে (HTTPS) চালানোর জন্য ssl_context প্যারামিটার ব্যবহার করা হয়।
উদাহরণ:
from flask import Flask
app = Flask(__name__)
@app.route("/")
def home():
return "এটি একটি নিরাপদ (HTTPS) Flask অ্যাপ!"
if __name__ == "__main__":
app.run(ssl_context=('ssl/certificate.crt', 'ssl/private.key'))
এখানে:
ssl_context=('ssl/certificate.crt', 'ssl/private.key'): এটি Flask অ্যাপ্লিকেশনকে SSL সার্টিফিকেট এবং গোপন কীগুলির সাথে চালানোর জন্য নির্দেশ দেয়।
এখন, আপনার অ্যাপ্লিকেশনটি https://localhost:5000 এ নিরাপদ HTTPS সংযোগে চলবে।
৫. Flask অ্যাপে HTTP থেকে HTTPS এ রিডাইরেকশন
প্রোডাকশনে আপনার Flask অ্যাপ্লিকেশনকে সর্বদা HTTPS এ রিডাইরেক্ট করতে চাইলে, Flask অ্যাপে HTTP রিকোয়েস্টগুলোকে HTTPS-এ রিডাইরেক্ট করা যেতে পারে। এজন্য আপনি Flask এর before_request হুক ব্যবহার করতে পারেন।
উদাহরণ:
from flask import Flask, redirect, request
app = Flask(__name__)
@app.before_request
def redirect_to_https():
if request.headers.get('X-Forwarded-Proto') != 'https' and not request.is_secure:
return redirect(request.url.replace('http://', 'https://'))
@app.route("/")
def home():
return "এই পৃষ্ঠা HTTPS এর মাধ্যমে অ্যাক্সেস করা হচ্ছে!"
if __name__ == "__main__":
app.run(debug=True)
এখানে:
request.headers.get('X-Forwarded-Proto'): এটি নিশ্চিত করে যে রিকোয়েস্ট HTTPS থেকে আসছে কিনা।request.is_secure: এটি নিশ্চিত করে যে রিকোয়েস্টটি নিরাপদ (HTTPS) কিনা।
এই কোডটি HTTP রিকোয়েস্টকে HTTPS রিডাইরেক্ট করবে।
৬. Let's Encrypt ব্যবহার করে SSL সার্টিফিকেট পাওয়া
Let's Encrypt একটি বিনামূল্যে এবং স্বয়ংক্রিয় সার্টিফিকেট প্রদানকারী (CA) যা আপনার Flask অ্যাপ্লিকেশনকে SSL সার্টিফিকেট প্রদান করতে পারে। এটি প্রোডাকশন পরিবেশে ব্যবহারের জন্য আদর্শ।
Let's Encrypt সার্টিফিকেট সেটআপের জন্য প্রক্রিয়া:
- Certbot ইনস্টল করুন।
Certbot ব্যবহার করে সার্ভারে SSL সার্টিফিকেট ইস্যু করুন:
sudo certbot --apache- Flask অ্যাপ্লিকেশন প্রোডাকশনে রান করার সময় সার্ভারের SSL সার্টিফিকেট ব্যবহার করুন। (যেমন: Nginx বা Apache ব্যবহার করে Flask অ্যাপ্লিকেশন পরিচালনা করা হয়)।
৭. Flask অ্যাপ্লিকেশনটি প্রোডাকশন পরিবেশে চালানো
প্রোডাকশন পরিবেশে, Flask ডিফল্ট ডেভেলপমেন্ট সার্ভারের পরিবর্তে WSGI সার্ভার (যেমন Gunicorn বা uWSGI) ব্যবহার করা হয়। এই সার্ভারগুলো SSL সার্টিফিকেট ব্যবহার করে HTTPS সংযোগ সুরক্ষিত করে।
Gunicorn এ SSL সাপোর্ট:
gunicorn --certfile=certificate.crt --keyfile=private.key app:app
এটি Gunicorn সার্ভারকে SSL সার্টিফিকেট ব্যবহার করে Flask অ্যাপ্লিকেশন চালাতে নির্দেশ দেবে।
Flask অ্যাপ্লিকেশনকে HTTPS এবং SSL/TLS সেটআপ করার মাধ্যমে আপনি আপনার অ্যাপ্লিকেশনটি নিরাপদ এবং সুরক্ষিত করতে পারেন। এটি বিশেষভাবে গুরুত্বপূর্ণ যখন আপনি সংবেদনশীল তথ্য (যেমন ব্যবহারকারীর পাসওয়ার্ড) পরিচালনা করছেন। Flask-এ SSL সার্টিফিকেট সেটআপ করতে self-signed certificates, Let's Encrypt এবং Gunicorn ব্যবহার করা যেতে পারে।
SQL Injection এবং Cross-Site Scripting (XSS) হল ওয়েব অ্যাপ্লিকেশন সিকিউরিটির দুটি সাধারণ কিন্তু অত্যন্ত ক্ষতিকর আক্রমণ। Flask অ্যাপ্লিকেশনের মধ্যে এই ধরনের আক্রমণ থেকে সুরক্ষা নিশ্চিত করতে কিছু গুরুত্বপূর্ণ পদ্ধতি অবলম্বন করা উচিত। চলুন, Flask অ্যাপ্লিকেশনে SQL Injection এবং XSS আক্রমণ থেকে সুরক্ষা কীভাবে নিশ্চিত করা যায়, সে সম্পর্কে আলোচনা করি।
১. SQL Injection থেকে সুরক্ষা
SQL Injection হল এমন একটি আক্রমণ যেখানে আক্রমণকারী SQL কোড ইনজেক্ট করে যা ডাটাবেসের অখণ্ডতা নষ্ট করতে পারে, অথবা গোপন তথ্য চুরি করতে পারে।
SQL Injection আক্রমণ কীভাবে কাজ করে?
ধরা যাক, আপনার অ্যাপ্লিকেশনে একটি লগইন ফর্ম রয়েছে যেখানে ব্যবহারকারী নাম এবং পাসওয়ার্ড দিয়ে লগইন করতে পারে। যদি এই ডেটাগুলো সরাসরি SQL কুয়েরিতে ব্যবহার করা হয়, তবে আক্রমণকারী খারাপ SQL কোড ইনজেক্ট করতে পারে, যেমন:
SELECT * FROM users WHERE username = 'admin' AND password = 'password' OR 1=1;
এতে ডাটাবেসে সব ব্যবহারকারীর তথ্য বের করে আনা যায়। তবে, Flask এ SQL Injection থেকে সুরক্ষা নিশ্চিত করার জন্য কিছু পদ্ধতি অনুসরণ করতে হবে।
SQL Injection থেকে সুরক্ষা:
- Parameterized Queries: SQL কুয়েরি তৈরি করার সময় ব্যবহারকারীর ইনপুটকে সরাসরি SQL স্টেটমেন্টে যোগ না করে, parameterized queries ব্যবহার করুন।
- SQLAlchemy ব্যবহার করুন: Flask-এ ডাটাবেস অপারেশনের জন্য SQLAlchemy ORM (Object Relational Mapper) ব্যবহার করলে SQL Injection প্রতিরোধ করা যায়, কারণ এটি সুরক্ষিত এবং parameterized কুয়েরি ব্যবহার করে।
উদাহরণ: SQLAlchemy ব্যবহার করে SQL Injection থেকে সুরক্ষা
from flask import Flask, request, jsonify
from flask_sqlalchemy import SQLAlchemy
app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///users.db'
db = SQLAlchemy(app)
class User(db.Model):
id = db.Column(db.Integer, primary_key=True)
username = db.Column(db.String(80), unique=True, nullable=False)
password = db.Column(db.String(120), nullable=False)
@app.route("/login", methods=["POST"])
def login():
username = request.form['username']
password = request.form['password']
# সুরক্ষিত parameterized query
user = User.query.filter_by(username=username, password=password).first()
if user:
return jsonify({"message": "Login successful!"}), 200
else:
return jsonify({"message": "Invalid credentials!"}), 401
if __name__ == "__main__":
app.run(debug=True)
এখানে:
filter_by()ব্যবহার করা হয়েছে, যা SQLAlchemy-এর একটি সুরক্ষিত পদ্ধতি যা SQL Injection আক্রমণ প্রতিরোধ করে।
২. Cross-Site Scripting (XSS) থেকে সুরক্ষা
XSS (Cross-Site Scripting) হল এমন একটি আক্রমণ যেখানে আক্রমণকারী ব্যবহারকারীর ব্রাউজারে স্ক্রিপ্ট বা ম্যালিশিয়াস কোড ইনজেক্ট করে। এটি সাধারণত ইনপুট ফিল্ডের মাধ্যমে ঘটে, যেমন ফর্মে কমেন্ট বা অন্যান্য ইউজার ইনপুট।
XSS আক্রমণ কীভাবে কাজ করে?
যখন ব্যবহারকারী কোনো ইনপুট (যেমন HTML বা JavaScript) ওয়েবসাইটে প্রদান করে এবং সেটি যথাযথভাবে স্যানিটাইজ করা হয় না, তখন আক্রমণকারী স্ক্রিপ্ট বা ক্ষতিকর কোড ইনজেক্ট করতে পারে। উদাহরণস্বরূপ:
<script>alert('XSS Attack!');</script>
XSS থেকে সুরক্ষা:
- Jinja2 টেমপ্লেট সিস্টেম ব্যবহার করা: Flask ডিফল্টভাবে Jinja2 টেমপ্লেট ইঞ্জিন ব্যবহার করে, যা স্বয়ংক্রিয়ভাবে আউটপুট স্যানিটাইজ করে, অর্থাৎ ইনপুট HTML ট্যাগের মাধ্যমে স্ক্রিপ্ট ইনজেক্ট করা সম্ভব নয়।
- ম্যাজিক লাইন এবং ইনপুট স্যানিটাইজেশন: ফর্মের ইনপুটের উপর কাস্টম স্যানিটাইজেশন প্রয়োগ করুন যাতে HTML বা JavaScript কোড ইনপুট হিসেবে গ্রহণ না হয়।
উদাহরণ: Flask তে XSS থেকে সুরক্ষা
from flask import Flask, render_template_string
app = Flask(__name__)
@app.route("/greet/<name>")
def greet(name):
# স্বয়ংক্রিয় স্যানিটাইজেশন: Jinja2 টেমপ্লেট ইনপুট স্যানিটাইজ করবে
return render_template_string('<h1>স্বাগতম, {{ name }}!</h1>', name=name)
if __name__ == "__main__":
app.run(debug=True)
এখানে:
{{ name }}এর মাধ্যমে যেহেতু Jinja2 টেমপ্লেট ইঞ্জিন ইনপুট স্যানিটাইজ করে, তাই ব্যবহারকারীর ইনপুট HTML বা JavaScript কোড হিসাবে চলে না।- Jinja2 স্বয়ংক্রিয়ভাবে স্পেশাল চিহ্নগুলো (যেমন
<,>) escape করে দেয়, যা XSS আক্রমণ প্রতিরোধে সহায়ক।
৩. Flask-এ XSS এর আরও সুরক্ষা পদ্ধতি
- HTML Encoding: ব্যবহারকারী ইনপুট যে কোনও HTML রেসপন্সে সরাসরি প্রদর্শিত হলে, তা HTML ইনকোডিং করে দেখানো উচিত যাতে স্ক্রিপ্ট এক্সিকিউট না হয়।
- Content Security Policy (CSP): Content Security Policy হেডার ব্যবহার করে আপনি স্ক্রিপ্ট সোর্স নিয়ন্ত্রণ করতে পারেন এবং XSS আক্রমণ থেকে সুরক্ষা নিশ্চিত করতে পারেন।
- Flask-WTF এর মাধ্যমে ফর্ম ভ্যালিডেশন: Flask-WTF ব্যবহার করে ফর্ম ইনপুট স্যানিটাইজ এবং ভ্যালিডেশন করতে পারেন। এটি অতিরিক্ত সুরক্ষা নিশ্চিত করতে সাহায্য করে।
Flask অ্যাপ্লিকেশনে SQL Injection এবং XSS থেকে সুরক্ষা নিশ্চিত করতে Flask এর বিভিন্ন এক্সটেনশন এবং টুল ব্যবহার করা উচিত। SQLAlchemy ব্যবহার করে ডাটাবেসে সুরক্ষিত কুয়েরি তৈরি করা এবং Jinja2 টেমপ্লেট সিস্টেম ব্যবহার করে XSS আক্রমণ প্রতিরোধ করা সম্ভব। Flask অ্যাপ্লিকেশন সুরক্ষিত করার জন্য, এই পদ্ধতিগুলি অনুসরণ করে আপনি আপনার ওয়েবসাইট বা অ্যাপ্লিকেশনকে নিরাপদ রাখতে পারেন।
Cross-Site Request Forgery (CSRF) একটি নিরাপত্তা ঝুঁকি যেখানে একজন আক্রমণকারী একটি ব্যবহারকারীর পরিচয়ে অবৈধ রিকোয়েস্ট পাঠিয়ে দেয়। এটি তখন ঘটে যখন একজন ব্যবহারকারী লগইন অবস্থায় থাকেন এবং আক্রমণকারী একটি ক্ষতিকর রিকোয়েস্ট পাঠিয়ে তাদের অ্যাকাউন্টে কোনো পরিবর্তন ঘটানোর চেষ্টা করে। Flask-SeaSurf এক্সটেনশন ব্যবহার করে Flask অ্যাপ্লিকেশনে CSRF (Cross-Site Request Forgery) আক্রমণ থেকে সুরক্ষা নিশ্চিত করা যায়।
Flask-SeaSurf কি?
Flask-SeaSurf একটি Flask এক্সটেনশন যা CSRF আক্রমণ প্রতিরোধে সহায়ক। এটি প্রতি POST, PUT, PATCH, এবং DELETE রিকোয়েস্টের জন্য একটি CSRF Token যাচাই করে, যা নিশ্চিত করে যে রিকোয়েস্টটি সঠিক ব্যবহারকারী থেকে এসেছে এবং কোনো আক্রমণকারী এই রিকোয়েস্টটি পাঠায়নি।
১. Flask-SeaSurf ইনস্টল করা
প্রথমে Flask-SeaSurf ইনস্টল করতে হবে:
pip install flask-seasurf
২. Flask-SeaSurf সেটআপ করা
Flask অ্যাপ্লিকেশনে Flask-SeaSurf ব্যবহার করার জন্য, আপনি প্রথমে এটি আপনার অ্যাপে যুক্ত করবেন। তারপর আপনাকে সমস্ত ফর্মে CSRF টোকেন ইনক্লুড করতে হবে, যা Flask-SeaSurf নিজে থেকেই হ্যান্ডেল করবে।
উদাহরণ:
from flask import Flask, render_template, request, redirect, url_for
from flask_seasurf import SeaSurf
app = Flask(__name__)
# CSRF Protection Enable করা
app.config['SECRET_KEY'] = 'আপনার-গোপন-কী' # Flask-এ CSRF Protection এর জন্য সিক্রেট কী প্রয়োজন
csrf = SeaSurf(app)
@app.route("/", methods=["GET", "POST"])
def home():
if request.method == "POST":
username = request.form["username"]
password = request.form["password"]
# এখানে, ফর্মের ইনপুট ডেটা প্রসেস করতে পারেন
return redirect(url_for('home'))
return render_template("index.html")
if __name__ == "__main__":
app.run(debug=True)
এখানে:
csrf = SeaSurf(app): এটি Flask অ্যাপে Flask-SeaSurf এক্সটেনশন সক্রিয় করে।app.config['SECRET_KEY']: Flask অ্যাপ্লিকেশনে CSRF টোকেন সঠিকভাবে কাজ করার জন্য একটি সিক্রেট কী প্রয়োজন।
৩. CSRF Token ফর্মে ব্যবহার করা
Flask-SeaSurf স্বয়ংক্রিয়ভাবে CSRF টোকেন ফর্মে ইনক্লুড করে, তবে আপনাকে এটি ম্যানুয়ালি ফর্মের মধ্যে নির্দিষ্ট করতে হবে। সাধারণত Jinja2 টেমপ্লেট ইঞ্জিনের মাধ্যমে এটি করা হয়।
উদাহরণ (index.html):
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Flask CSRF Example</title>
</head>
<body>
<h2>Login Form</h2>
<form method="POST">
{{ csrf_token() }} <!-- CSRF Token ফর্মে ইনক্লুড করা -->
<label for="username">Username:</label>
<input type="text" name="username" required><br><br>
<label for="password">Password:</label>
<input type="password" name="password" required><br><br>
<input type="submit" value="Login">
</form>
</body>
</html>
এখানে:
{{ csrf_token() }}: এটি Jinja2 টেমপ্লেট ফাংশন, যা CSRF টোকেন ইনক্লুড করে এবং ফর্মের অংশ হিসেবে রেন্ডার হয়।
৪. CSRF Protection কাস্টমাইজ করা
Flask-SeaSurf স্বয়ংক্রিয়ভাবে POST, PUT, PATCH, এবং DELETE রিকোয়েস্টের জন্য CSRF টোকেন যাচাই করে, তবে আপনি চাইলে কিছু রাউট বা নির্দিষ্ট URL গুলি থেকে CSRF সুরক্ষা নিষ্ক্রিয় করতে পারেন।
উদাহরণ:
# কিছু রাউট থেকে CSRF সুরক্ষা নিষ্ক্রিয় করা
csrf.exempt(['public', 'another_route'])
@app.route('/public')
def public():
return "This is a public page without CSRF protection"
@app.route('/another_route')
def another_route():
return "This route has no CSRF protection"
এখানে csrf.exempt() ফাংশন ব্যবহার করে আপনি নির্দিষ্ট রাউটগুলি থেকে CSRF সুরক্ষা নিষ্ক্রিয় করেছেন।
৫. Flask-SeaSurf Error Handling
যদি CSRF টোকেন যাচাইয়ে কোনো সমস্যা হয়, তবে Flask-SeaSurf একটি 400 (Bad Request) এরর রিটার্ন করে।
উদাহরণ:
@app.errorhandler(400)
def bad_request(error):
return "Bad request, CSRF token missing or invalid!", 400
এখানে @app.errorhandler(400) ব্যবহার করে আপনি কাস্টম ত্রুটি পৃষ্ঠা তৈরি করেছেন, যা CSRF সম্পর্কিত ত্রুটির জন্য ব্যবহার হবে।
৬. Flask-SeaSurf এর সুবিধা
- এনক্রিপ্টেড CSRF টোকেন: Flask-SeaSurf আপনাকে শক্তিশালী CSRF সুরক্ষা প্রদান করে।
- সহজ ইন্টিগ্রেশন: Flask অ্যাপে Flask-SeaSurf দ্রুত এবং সহজে ইন্টিগ্রেট করা যায়।
- স্বয়ংক্রিয় CSRF টোকেন জেনারেশন: ফর্মে CSRF টোকেন ইনজেক্ট করতে
{{ csrf_token() }}ব্যবহার করা সহজ। - স্বয়ংক্রিয় নিরাপত্তা যাচাই: Flask-SeaSurf স্বয়ংক্রিয়ভাবে CSRF টোকেনের সাথে রিকোয়েস্ট যাচাই করে।
Flask-SeaSurf ব্যবহার করে আপনি Flask অ্যাপ্লিকেশনগুলোকে CSRF আক্রমণ থেকে সুরক্ষিত রাখতে পারেন। এটি খুবই কার্যকরী এবং সহজ পদ্ধতি, বিশেষ করে যখন আপনি ফর্ম এবং API রিকোয়েস্টে সুরক্ষা নিশ্চিত করতে চান। Flask-SeaSurf এক্সটেনশন Flask অ্যাপ্লিকেশনের জন্য CSRF প্রতিরোধ ব্যবস্থাপনা সহজ এবং নিরাপদ করে তোলে।
Flask অ্যাপ্লিকেশনে Security Headers এবং Content Security Policy (CSP) ব্যবহার করা একটি গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থা। এই নিরাপত্তা ব্যবস্থা ওয়েব অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ থেকে সুরক্ষা প্রদান করে, যেমন Cross-Site Scripting (XSS), Clickjacking, Cross-Site Request Forgery (CSRF) এবং আরও অন্যান্য নিরাপত্তা হুমকি।
Security Headers এবং Content Security Policy (CSP) এর মাধ্যমে Flask অ্যাপ্লিকেশনকে নিরাপদ রাখা যায় এবং সঠিকভাবে কনফিগার করা হলে আপনার অ্যাপ্লিকেশনটি নিরাপদে চলতে পারবে।
১. Security Headers
HTTP Security Headers হলো HTTP রেসপন্সের হেডার যা ব্রাউজারকে ওয়েব পেজের আচরণ এবং নিরাপত্তা নির্ধারণ করতে সহায়ক হয়। Flask অ্যাপ্লিকেশনগুলিতে সঠিকভাবে সিকিউরিটি হেডার ব্যবহার করা হলে তা অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করতে সাহায্য করবে।
Flask অ্যাপ্লিকেশনে Security Headers কনফিগার করা
Flask-এ সিকিউরিটি হেডার যুক্ত করার জন্য after_request() ডেকোরেটর ব্যবহার করা হয়। এটি প্রতি রিকোয়েস্টের পরে হেডার যুক্ত করার জন্য ব্যবহৃত হয়।
উদাহরণ:
from flask import Flask, jsonify
app = Flask(__name__)
@app.after_request
def add_security_headers(response):
# HTTP Strict Transport Security (HSTS)
response.headers['Strict-Transport-Security'] = 'max-age=31536000; includeSubDomains'
# X-Content-Type-Options
response.headers['X-Content-Type-Options'] = 'nosniff'
# X-Frame-Options
response.headers['X-Frame-Options'] = 'DENY'
# X-XSS-Protection
response.headers['X-XSS-Protection'] = '1; mode=block'
# Content-Security-Policy (CSP)
response.headers['Content-Security-Policy'] = "default-src 'self'; script-src 'self'; style-src 'self';"
return response
@app.route('/')
def home():
return "Hello, Secure Flask!"
if __name__ == "__main__":
app.run(debug=True)
এখানে:
Strict-Transport-Security(HSTS): এটি ব্রাউজারকে বলে যে শুধু HTTPS সংযোগ ব্যবহার করা উচিত।X-Content-Type-Options: এটি ব্রাউজারকে কোনো ফাইলের MIME type সঠিকভাবে শনাক্ত করতে বলে, যাতে MIME sniffing আক্রমণ থেকে সুরক্ষা পাওয়া যায়।X-Frame-Options: এটি পেজটিকে অন্য সাইটের iframe এর মধ্যে ইনক্লুড করা থেকে বিরত রাখে, যা Clickjacking আক্রমণ প্রতিরোধ করে।X-XSS-Protection: এটি ব্রাউজারের মধ্যে XSS আক্রমণ প্রতিরোধ করার জন্য ব্যবহৃত হয়।Content-Security-Policy (CSP): এটি স্ক্রিপ্ট এবং অন্যান্য কন্টেন্টের উৎস নিয়ন্ত্রণ করে, যা Cross-Site Scripting (XSS) আক্রমণ প্রতিরোধে সাহায্য করে।
২. Content Security Policy (CSP)
Content Security Policy (CSP) একটি সিকিউরিটি ফিচার যা ওয়েব অ্যাপ্লিকেশনকে Cross-Site Scripting (XSS) এবং অন্যান্য ইন্টারনেটভিত্তিক আক্রমণ থেকে রক্ষা করতে ব্যবহৃত হয়। CSP এর মাধ্যমে আপনি নির্দিষ্ট করতে পারেন যে কোন উৎস থেকে স্ক্রিপ্ট, স্টাইল, ইমেজ, এবং অন্যান্য রিসোর্স লোড করা যাবে। এটি আপনার অ্যাপ্লিকেশনকে বেশ কিছু সিকিউরিটি হুমকির হাত থেকে সুরক্ষিত রাখে।
CSP-এর মূল ফিচার:
default-src: এটি ডিফল্ট উৎস নির্ধারণ করে, অর্থাৎ, কোন উৎস থেকে সমস্ত রিসোর্স (স্ক্রিপ্ট, ইমেজ, স্টাইল) লোড করা যাবে।script-src: এটি স্ক্রিপ্ট লোড করার জন্য অনুমোদিত উৎস নির্ধারণ করে।style-src: এটি স্টাইল শিট লোড করার জন্য অনুমোদিত উৎস নির্ধারণ করে।img-src: এটি চিত্র (ইমেজ) লোড করার জন্য অনুমোদিত উৎস নির্ধারণ করে।connect-src: এটি সংযোগ (যেমন AJAX কল) করার জন্য অনুমোদিত উৎস নির্ধারণ করে।
উদাহরণ:
@app.after_request
def set_csp(response):
response.headers['Content-Security-Policy'] = """
default-src 'self';
script-src 'self' https://apis.google.com;
style-src 'self' 'unsafe-inline';
img-src 'self' data:;
connect-src 'self';
"""
return response
এখানে:
'self': এটি বর্তমান ডোমেইন থেকে লোড করা সব কিছু অনুমোদিত।https://apis.google.com: এটি Google APIs থেকে স্ক্রিপ্ট লোড করতে অনুমোদিত।'unsafe-inline': এটি ইনলাইন CSS অনুমোদিত করে, তবে সাধারণত এটি unsafe বলে গণ্য হয়। এটি শুধুমাত্র এক্সপেরিমেন্টাল বা নির্দিষ্ট ক্ষেত্রে ব্যবহার করা উচিত।data:: এটি ইমেজ হিসেবেdata URIঅনুমোদিত করে।
৩. CSP এবং 'unsafe-inline' এবং 'unsafe-eval'
CSP-এ 'unsafe-inline' এবং 'unsafe-eval' সিকিউরিটি ঝুঁকির কারণ হতে পারে, কারণ এগুলি ব্রাউজারের মধ্যে ইনলাইন স্ক্রিপ্ট এবং eval ফাংশন ব্যবহারের অনুমতি দেয়। যখন এই দুটি ব্যবহার করা হয়, তখন অ্যাপ্লিকেশন কিছুটা নিরাপত্তাহীন হয়ে পড়ে।
unsafe-inline:
- যখন
'unsafe-inline'ব্যবহার করা হয়, তখন আপনি সরাসরি HTML তে JavaScript কোড রাখতে পারবেন, যা XSS আক্রমণের সুযোগ সৃষ্টি করে।
unsafe-eval:
'unsafe-eval'ব্যবহার করা হলেeval()ফাংশন ব্যবহৃত হতে পারে, যা নিরাপত্তা ঝুঁকির কারণ হতে পারে। এটা সঠিকভাবে কনফিগার না করলে আক্রমণকারীদের জন্য সুযোগ সৃষ্টি করতে পারে।
৪. Flask-এ CSP Reporting
CSP রিপোর্টিং ফিচারটি ব্যবহার করে আপনি কিভাবে আপনার CSP নিয়ম ভঙ্গ হচ্ছে তা জানতে পারেন। এর মাধ্যমে, আপনি CSP নীতির মধ্যে কোনো ত্রুটি বা আক্রমণ সনাক্ত করতে পারেন।
@app.after_request
def set_csp_report(response):
response.headers['Content-Security-Policy'] = """
default-src 'self';
report-uri /csp-violation-report-endpoint;
"""
return response
এখানে:
report-uri: এটি CSP লঙ্ঘনের রিপোর্ট পাঠানোর জন্য URL নির্ধারণ করে। আপনি একটি সার্ভার সাইড URL তৈরি করতে পারেন যা রিপোর্ট গ্রহণ করবে।
৫. Flask-এ CSP এবং অন্যান্য নিরাপত্তা হেডার কনফিগার করা
একত্রিতভাবে, Flask অ্যাপ্লিকেশনটি সুরক্ষিত করতে Security Headers এবং CSP হেডার কনফিগার করা যেতে পারে। নিচে একটি উদাহরণ দেওয়া হলো যেখানে সমস্ত সিকিউরিটি হেডার যুক্ত করা হয়েছে:
from flask import Flask, jsonify
app = Flask(__name__)
@app.after_request
def apply_security_headers(response):
response.headers['Strict-Transport-Security'] = 'max-age=31536000; includeSubDomains'
response.headers['X-Content-Type-Options'] = 'nosniff'
response.headers['X-Frame-Options'] = 'DENY'
response.headers['X-XSS-Protection'] = '1; mode=block'
response.headers['Content-Security-Policy'] = "default-src 'self'; script-src 'self'; style-src 'self';"
return response
@app.route('/')
def home():
return jsonify(message="Hello, Secure Flask App!")
if __name__ == "__main__":
app.run(debug=True)
এখানে:
- Security Headers এবং CSP একসাথে ব্যবহার করা হয়েছে, যাতে অ্যাপ্লিকেশনটি Cross-Site Scripting (XSS), Clickjacking, এবং অন্যান্য আক্রমণের হাত থেকে সুরক্ষিত থাকে।
Security Headers এবং Content Security Policy (CSP) Flask অ্যাপ্লিকেশনের নিরাপত্তা নিশ্চিত করতে খুবই গুরুত্বপূর্ণ। CSP আক্রমণকারীদের স্ক্রিপ্টের ম্যালিসিয়াস কার্যক্রম ব্লক করতে সাহায্য করে, এবং Security Headers সাধারণ ওয়েব সিকিউরিটি সমস্যা থেকে সুরক্ষা প্রদান করে। Flask অ্যাপ্লিকেশনে সঠিকভাবে এই হেডারগুলো কনফিগার করে আপনি আপনার অ্যাপ্লিকেশনকে আরও নিরাপদ এবং শক্তিশালী করতে পারবেন।
Read more
