Python HTTP头

2025年1月5日 | 18 分钟阅读

HTTP 头在网络通信中扮演着基础性的角色，是网络服务器和客户端之间的消息传递工具。在这篇新闻稿中，我们将深入探讨 HTTP 头是什么、它们在网络通信中的重要性以及它们的实际应用。

什么是 HTTP 头？

HTTP（超文本传输协议）头是客户（例如互联网浏览器）和服务器之间发送的 HTTP 请求和响应的元数据组件。它们提供关于正在传输的数据的基本信息，使双方能够成功理解和处理内容。

头由键值对组成，位于 HTTP 消息的开头，在实际数据有效负载之前。每个头包含一个字段名，后跟一个冒号，然后是字段值。一个 HTTP 消息中可以包含多个头，每个头由一个换行符分隔。

在网络通信中的重要性

HTTP 头在网络通信中具有几个关键作用

数据传输控制： HTTP 头允许客户端和服务器控制数据的传输和解释方式。它们指定内容类型、字符编码、压缩技术和缓存指令等参数。
请求路由和处理： 头提供将请求路由到正确服务器并相应处理它们的指令。它们包含诸如请求资源的 URL、HTTP 方法（GET、POST 等）以及所需的身份验证凭据等详细信息。
会话管理： 头通过包含 cookie 促进会话管理，cookie 是从服务器发送并存储在客户端的小块数据。Cookie 允许网站在多个请求中保持与用户的有状态交互。
安全和隐私： HTTP 头在实施安全措施和保护用户隐私方面发挥着重要作用。与安全相关的头可以防止某些类型的攻击（例如，跨页面脚本、点击劫持）并实施安全的通信协议（例如，HTTPS）。
内容协商： 客户端和服务器可以使用 Accept 和 Accept-Language 等头来协商内容格式和语言。这确保双方可以以相互理解的格式交换信息。
性能优化： 头提供优化网络性能的机制，例如缓存和压缩。通过指定缓存指令（如 Cache-Control 和 ETag），服务器可以减少带宽利用率并提高响应时间。
调试和故障排除： HTTP 头包含诊断信息，有助于调试和故障排除网络应用程序。它们提供对服务器配置、响应状态码和重定向路径的深入了解。
跨域资源共享（CORS）： CORS 头允许服务器指定哪些外部资源（例如，字体、脚本、API）可供来自不同来源的网页访问。这有助于防止跨域安全漏洞，同时仍然允许对资源的受控访问。

实际应用

HTTP 头在网络开发和网络通信的各种场景中都有使用

网络开发： 开发人员使用头来控制缓存行为、设置 cookie 并在其网络应用程序中实施安全策略。Django 和 Flask 等框架提供了有效管理头的工具。
API 集成： 在与外部 API 交互时，开发人员需要理解并利用 HTTP 头来验证请求、处理速率限制并指定数据格式。
网络爬取： 在爬取网站数据时，可以自定义头以模拟不同的用户代理或语言，从而确保兼容性并遵守网站指南。
网络性能优化： 优化缓存头、压缩设置和资源预取技术可以显著提高网站性能和用户体验。
安全强化： 实施内容安全策略（CSP）和 HTTP 严格传输安全（HSTS）等安全头有助于缓解常见的网络漏洞并保护用户数据。
监控和分析： 分析 HTTP 头可以提供对用户行为、流量模式和性能指标的宝贵见解，有助于网站优化和营销策略。

HTTP 头是网络通信的核心，默默地协调客户端和服务器之间的数据交换，同时塑造用户体验。它们体现了网络协议的技术复杂性和最佳实践，平衡了性能优化与安全要求。

除了它们在 HTTP 事务中的基础作用之外，头还封装了网络开发的精神，体现了互操作性、效率和以用户为中心的设计理念。从会话管理到安全强化，从内容协商到性能优化，HTTP 头是互联网实现其无缝连接和功能承诺的渠道。理解 HTTP 头的细微差别使开发人员能够驾驭现代网络开发的复杂性，在不断发展的数字环境中解锁创新和用户参与的新可能性。

HTTP 请求-响应循环：详细探索

HTTP 请求-响应循环是网络通信的基石，它允许客户端（如网络浏览器）和服务器之间的交互。这个循环是几乎所有基于网络的活动的基础，从加载网站到提交表单。理解这个循环对于网络开发人员、网络工程师以及任何对互联网机制感兴趣的人都至关重要。让我们深入探讨 HTTP 请求-响应循环的复杂性。

HTTP 简介

HTTP（超文本传输协议）是一种无状态协议，用于在万维网上传输超文本文档。它遵循请求-响应模型，其中客户端向服务器发出请求，然后服务器处理请求并返回响应。这种简单而强大的交互构成了所有网络通信的基础。

HTTP 请求的组成部分

HTTP 请求由几个关键组件组成

请求行： 这包括 HTTP 方法（例如，GET、POST）、资源 URL 和 HTTP 版本。例如，GET /index.html HTTP/1.1。
头：这些提供有关请求的元数据。常见的头包括 Host、User-Agent、Accept、Authorization 和 Content-Type。
正文： 这是可选的，通常与 POST 或 PUT 等方法一起使用，用于向服务器发送数据，例如表单提交或文件上传。

HTTP 方法

HTTP 方法定义对资源执行的操作。常见方法包括

GET：请求指定资源的表示。数据作为查询字符串附加到 URL 中。
POST：提交要处理的数据到指定的资源。数据包含在请求的正文中。
PUT：用上传的内容替换目标资源的所有当前表示。
DELETE：删除指定的资源。
HEAD：类似于 GET，但它只传输状态行和头部分。
OPTIONS：描述目标资源的通信选项。

发起 HTTP 请求

当用户与网页交互时，浏览器会构建一个 HTTP 请求。例如，输入 URL 并按下 Enter 键时，浏览器执行以下步骤

DNS 解析： 将域名（例如，www.example.com）转换为 IP 地址。
建立连接： 在端口 80（用于 HTTP）或 443（用于 HTTPS）上打开到服务器的 TCP 连接。
发送请求： 将 HTTP 请求消息传输到服务器。

HTTP 响应的组成部分

服务器处理请求并返回一个 HTTP 响应，其中包括

状态行： 指示 HTTP 版本、状态码和原因短语（例如，HTTP/1.1 200 OK）。
头：提供有关响应的元数据。常见的头包括 Content-Type、Content-Length、Set-Cookie、Server 和 Cache-Control。
正文： 包含资源表示，例如 HTML、JSON 或图像。正文对于某些响应是可选的，例如 HEAD 请求的响应。

HTTP 状态码

响应中的状态码指示请求的结果。它们分为五类

1xx (信息性)：请求已接收，继续处理。
2xx (成功)：请求已成功接收、理解和接受。常见代码包括
200 OK：请求成功。
201 Created：请求成功，并创建了新资源。
3xx (重定向)：需要采取进一步行动才能完成请求。常见代码包括
301 Moved Permanently：资源已永久移动到新的 URL。
302 Found：资源暂时位于不同的 URL。
4xx (客户端错误)：请求包含错误的语法或无法完成。常见代码包括
400 Bad Request：服务器无法理解请求。
401 Unauthorized：需要身份验证，且身份验证失败或未提供。
404 Not Found：找不到请求的资源。
5xx (服务器错误)：服务器未能完成有效请求。常见代码包括
500 Internal Server Error：遇到意外情况。
503 Service Unavailable：服务器目前无法处理请求。

HTTP 请求-响应循环的重要性

效率和性能： 理解请求-响应循环允许开发人员优化网络性能。诸如最小化 DNS 查找、利用持久连接和优化服务器响应时间等技术可以显著提升用户体验。
错误处理： 通过理解 HTTP 状态码（例如，404 Not Found，500 Internal Server Error），开发人员可以实现强大的错误处理机制。正确的错误响应可以提高应用程序的可靠性和用户满意度。
安全性： 安全数据传输至关重要。通过使用 HTTPS（HTTP Secure），它为请求-响应循环添加了 SSL/TLS 加密层，开发人员可以保护数据完整性和机密性。
互操作性： HTTP 的标准化性质确保了不同系统和平台之间的互操作性。理解该循环有助于开发可以与各种客户端有效通信的 API 和网络服务。
调试和故障排除： 对请求-响应循环的了解有助于调试和故障排除互联网程序。诸如浏览器开发人员控制台、HTTP 代理和日志框架等工具可用于在循环的不同阶段检查和诊断问题。

常见 HTTP 请求头的详细解释

HTTP 请求头在请求-响应循环中扮演着重要角色，允许客户端在 HTTP 请求中传递额外信息。理解这些头对于网络开发人员和所有涉及网络通信的人来说都至关重要。以下是对一些最常见 HTTP 请求头的详细探讨

Host

描述

“Host”头指定服务器的域名（用于虚拟主机），以及可选的服务器监听的 TCP 端口范围。

用途

意义

在 HTTP/1.1 请求中是强制性的。
服务器用于区分同一 IP 地址上托管的不同域名。
对于将请求路由到正确的虚拟主机至关重要。

User-Agent

描述

“User-Agent”头包含一个字符串，用于标识发出请求的客户端软件。它包括客户端的浏览器、操作系统及其版本等详细信息。

用途

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3

意义

服务器使用此信息进行内容协商并提供不同版本的站点（例如，移动版与桌面版）。
对于日志和分析非常重要，以了解访问站点的用户的人口统计信息。
有助于调试和识别特定于某些浏览器或设备的问题。

Accept

描述

“Accept”头告诉服务器客户端可以理解的媒体类型（MIME 类型）。

用途

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

意义

启用内容协商，允许服务器提供最适当的内容类型。
客户端可以指定多个媒体类型，并带有质量值（“q”）以指示偏好。
对于 API 指示所需的响应格式（例如，JSON，XML）至关重要。

Accept-Encoding

描述

“Accept-Encoding”头指示客户端可以处理的内容编码（例如，gzip，deflate）。

用途

意义

用于减少响应正文的大小，从而通过节省带宽和减少加载时间来提高性能。
如果服务器支持指定的编码，则可以发送压缩响应。
有助于使网络应用程序更高效和响应更快。

Accept-Language

描述

“Accept-Language”头指定客户端在响应中首选的自然语言。

用途

意义

通过允许服务器以用户首选的语言提供内容，促进内容本地化。
通过提供本地化内容增强用户体验。
在面向全球受众并支持多种语言的应用程序中很有用。

授权

描述

“Authorization”头包含用于在客户端与服务器之间进行身份验证的凭据。

用途

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Or for Bearer tokens:
Authorization: Bearer <token>

意义

对于访问控制和保护资源至关重要。
支持各种身份验证方案，例如 Basic、Bearer、Digest 等。
通常用于 API 请求以提供身份验证令牌。

Cookie

描述

“Cookie”头将 cookie 从客户端发送到服务器。

用途

意义

用于维护客户端和服务器之间的会话状态。
对于个性化体验和持久用户会话至关重要。
有助于跟踪用户行为和偏好。

Content-Type

描述

“Content-Type”头指示发送到服务器的资源的媒体类型。

用途

Content-Type: application/json
Or for file uploads:
Content-Type: multipart/form-data; boundary=---boundary

意义

告诉服务器如何解释请求正文的内容。
对于 API 正确解析和处理传入数据至关重要。
对于表单和文件上传，需要指定数据的格式。

Content-Length

描述

“Content-Length”头指示请求正文的大小（以字节为单位）。

用途

意义

允许服务器知道预期接收多少数据。
对于确保整个正文正确接收很重要。
有助于防止某些类型的攻击，例如请求走私。

Referer

描述

“Referer”头（标准中有意拼写错误）指示请求源自的资源的 URL。

用途

意义

服务器用于识别流量来源并改进导航。
对于分析和跟踪用户在站点中的流程很重要。
可用于安全目的，例如验证请求以防止 CSRF（跨站请求伪造）攻击。

Cache-Control

描述

“Cache-Control”头为请求和响应中的缓存机制提供指令。

用途

意义

控制客户端或中间代理如何以及缓存响应多长时间。
可用于通过减少冗余网络请求来提高性能。
有助于确保客户端获得资源的最新版本。

If-Modified-Since / If-None-Match

描述

这些头用于条件请求，其中客户端仅在资源自指定日期（“If-Modified-Since”）修改后或与指定的 ETag（“If-None-Match”）不匹配时才请求资源。

用途

If-Modified-Since: Wed, 21 Oct 2015 07:28:00 GMT
Or:
If-None-Match: "34dc7-53a1234e72d80"

意义

通过允许服务器在资源未更改时返回“304 Not Modified”状态，有助于减少带宽使用。
确保客户端不下载未更改的资源，从而提高性能。

范围

描述

“Range”头允许客户端仅请求资源的一部分。

用途

意义

对于恢复中断的下载或仅获取大型资源的一部分很有用。
通过允许部分内容交付来增强性能和用户体验。
通常用于媒体流应用程序。

起源

描述

“Origin”头指示请求的来源，不带路径或参数。

用途

意义

主要用于 CORS（跨域资源共享）请求，以指定发起请求的来源。
通过允许或拒绝基于来源的请求，帮助服务器实施安全策略。

Upgrade-Insecure-Requests

描述

“Upgrade-Insecure-Requests”头表示客户端偏好安全（HTTPS）连接而非不安全（HTTP）连接。

用途

意义

鼓励服务器在可能的情况下将连接升级到 HTTPS。
通过促进安全通信通道来增强安全性。

HTTP 请求头是网络通信的基石，为客户端和服务器之间的数据交换提供了必要的上下文和控制。每个头都有其独特的作用，有助于网络应用程序的整体功能、性能和安全性。通过详细了解这些常见的请求头，开发人员可以更好地利用它们的能力来构建高效、安全和用户友好的网络应用程序。

在 Python 中处理 HTTP 头是网络爬取、API 交互和网络开发任务的常见需求。Python 提供了几个库来轻松管理 HTTP 头，例如 `requests`、`.client` 和 `urllib`。本文将重点介绍使用 `requests` 库，它是 Python 中处理 HTTP 请求最流行和用户友好的库。

Python 中 HTTP 头简介

HTTP 头是与 HTTP 请求和响应一起发送的键值对，用于提供有关请求或响应的附加信息。常见用例包括身份验证、内容协商和控制缓存行为。

使用 `requests` 库

`requests` 库简化了 HTTP 头的处理。它允许您轻松地向 HTTP 请求添加头并访问 HTTP 响应中的头。

安装 `requests` 库

首先，如果尚未安装，则需要安装 `requests` 库

使用头进行简单的 GET 请求

为了演示 HTTP 头的处理，让我们从一个简单的 GET 请求开始。我们将向请求添加自定义头并打印响应头。

import requests
 Define the URL
url = 's://bin.org/get'
 Define custom headers
headers = {
    'User-Agent': 'my-app/0.0.1',
    'Accept': 'application/json',
}
 Make the GET request with headers
response = requests.get(url, headers=headers)
 Print the response status code
print('Status Code:', response.status_code)
 Print the response headers
print('Response Headers:', response.headers)
 Print the JSON content of the response
print('Response JSON:', response.json())

输出

Status Code: 200
Response Headers: {'Date': 'Sun, 18 May 2024 12:00:00 GMT', 'Content-Type': 'application/json', 'Content-Length': '220', ...}
Response JSON: {'args': {}, 'headers': {'Accept': 'application/json', 'Host': 'bin.org', 'User-Agent': 'my-app/0.0.1', ...}}

使用头进行 POST 请求

接下来，让我们使用头和 JSON 有效负载进行 POST 请求。

import requests
 Define the URL
url = 's://bin.org/post'
 Define custom headers
headers = {
    'Content-Type': 'application/json',
    'Authorization': 'Bearer your-token-here'
}
 Define the payload
payload = {
    'name': 'John Doe',
    'email': 'john.doe@example.com'
}
 Make the POST request with headers and payload
response = requests.post(url, headers=headers, json=payload)
 Print the response status code
print('Status Code:', response.status_code)
 Print the response headers
print('Response Headers:', response.headers)
 Print the JSON content of the response
print('Response JSON:', response.json())

输出

Status Code: 200
Response Headers: {'Date': 'Sun, 18 May 2024 12:00:01 GMT', 'Content-Type': 'application/json', 'Content-Length': '287', ...}
Response JSON: {'args': {}, 'data': '{"name": "John Doe", "email": "john.doe@example.com"}', 'headers': {'Authorization': 'Bearer your-token-here', 'Content-Type': 'application/json', ...}}

访问响应头

您可以轻松地从响应中访问特定的头。以下是操作方法

import requests
 Define the URL
url = 's://bin.org/get'
 Make the GET request
response = requests.get(url)
 Access a specific header
content_type = response.headers.get('Content-Type')
 Print the Content-Type header
print('Content-Type:', content_type)

输出

Content-Type: application/json

在请求头中发送 Cookie

Cookie 通常用于维护会话状态。以下是如何随请求发送 Cookie

import requests
 Define the URL
url = 's://bin.org/cookies'
Define cookies
cookies = {
    'session_id': '123456',
    'user': 'john_doe'
}
 Make the GET request with cookies
response = requests.get(url, cookies=cookies)
 Print the response status code
print('Status Code:', response.status_code)
 Print the response headers
print('Response Headers:', response.headers)

 Print the JSON content of the response
print('Response JSON:', response.json())

输出

Status Code: 200
Response Headers: {'Date': 'Sun, 18 May 2024 12:00:02 GMT', 'Content-Type': 'application/json', 'Content-Length': '37', ...}
Response JSON: {'cookies': {'session_id': '123456', 'user': 'john_doe'}}

处理身份验证头

对于 API 请求，您通常需要处理身份验证头。以下是使用基本身份验证的示例

import requests
from requests.auth import HTTPBasicAuth
 Define the URL
url = 's://bin.org/basic-auth/user/passwd'
 Make the GET request with Basic Authentication
response = requests.get(url, auth=HTTPBasicAuth('user', 'passwd'))
 Print the response status code
print('Status Code:', response.status_code)
 Print the JSON content of the response
print('Response JSON:', response.json())

输出

Status Code: 200
Response JSON: {'authenticated': True, 'user': 'user'}

在高级用例中处理自定义头

对于更高级的场景，您可能需要动态添加头或处理不同类型的请求。以下是根据条件动态设置头的示例。

import requests
 Define the URL
url = 's://bin.org/anything'
 Initialize headers dictionary
headers = {
    'User-Agent': 'my-app/0.0.1',
}
 Function to add custom header based on condition
def add_custom_header(headers, condition):
    if condition:
        headers['Custom-Header'] = 'CustomValue'
    return headers
 Define a condition
condition = True
 Update headers dynamically
headers = add_custom_header(headers, condition)
 Make the GET request with dynamic headers
response = requests.get(url, headers=headers)
 Print the response status code
print('Status Code:', response.status_code)
 Print the response headers
print('Response Headers:', response.headers)
 Print the JSON content of the response
print('Response JSON:', response.json())

输出

Status Code: 200
Response Headers: {'Date': 'Sun, 18 May 2024 12:00:03 GMT', 'Content-Type': 'application/json', 'Content-Length': '221', ...}
Response JSON: {'args': {}, 'headers': {'Custom-Header': 'CustomValue', 'Host': 'bin.org', 'User-Agent': 'my-app/0.0.1', ...}}

使用会话对象进行持久头

如果您需要使用相同的头发出多个请求，可以使用会话对象。这对于在多个请求中维护 cookie 和头特别有用。

import requests

 Create a session object
session = requests.Session()

 Define common headers
session.headers.update({
    'User-Agent': 'my-app/0.0.1',
    'Authorization': 'Bearer your-token-here'
})

 Make a GET request using the session
response = session.get('s://bin.org/get')

 Print the response JSON
print('GET Response JSON:', response.json())

 Make a POST request using the session
response = session.post('s://bin.org/post', json={'key': 'value'})
 Print the response JSON
print('POST Response JSON:', response.json())

输出

GET Response JSON: {'args': {}, 'headers': {'Authorization': 'Bearer your-token-here', 'Host': 'bin.org', 'User-Agent': 'my-app/0.0.1', ...}}
POST Response JSON: {'args': {}, 'data': '{"key": "value"}', 'headers': {'Authorization': 'Bearer your-token-here', 'Content-Type': 'application/json', ...}}

在 Python 中处理 HTTP 头使用 `requests` 库非常简单。无论您是添加自定义头、管理身份验证还是发送 cookie，`requests` 都为您的所有 HTTP 需求提供了一个灵活易用的接口。通过了解如何有效地使用这些头，您可以增强网络应用程序和 API 交互的性能、安全性和功能。

HTTP 安全头

HTTP 安全头在保护网络应用程序免受各种安全漏洞方面发挥着关键作用。它们通过指示浏览器如何处理应用程序内容来提供额外的安全层。在这里，我们将探讨常见的 HTTP 安全头及其重要性。

常见的 HTTP 安全头

1. Content-Security-Policy (CSP)

描述

CSP 通过指定允许加载哪些动态资源来帮助防止跨站脚本 (XSS) 攻击。

用途

Content-Security-Policy: default-src 'self'; script-src 'self' s://trusted.cdn.com

意义

限制脚本、样式和其他资源的来源。
有助于缓解 XSS 和数据注入攻击。
由于需要识别和白名单所有合法来源，实施起来可能很复杂。

2. X-Content-Type-Options

描述

此头阻止浏览器从声明的内容类型中进行 MIME 嗅探响应，这有助于防止某些类型的攻击。

用途

意义

确保内容被解释为声明的 MIME 类型。
有助于防止恶意文件以误导性 MIME 类型提供服务时发生的攻击。

3. X-Frame-Options

描述

控制是否允许浏览器在 frame、iframe、embed 或 object 中渲染页面。

用途

X-Frame-Options: DENY
or
X-Frame-Options: SAMEORIGIN

意义

通过阻止网站嵌入到 iframe 中来防止点击劫持攻击。
`DENY` 阻止任何域嵌入内容。
`SAMEORIGIN` 只允许同一域上的页面嵌入内容。

4. Strict-Transport-Security (HSTS)

描述

确保浏览器仅通过 HTTPS 与服务器交互，防止协议降级攻击和 cookie 劫持。

用途

意义

对所有通信强制使用 HTTPS。
防止中间人攻击。
`includeSubDomains` 指令确保所有子域也受到保护。

5. Referrer-Policy

描述

控制请求中应包含多少 Referrer 信息。

用途

Referrer-Policy: no-referrer
or
Referrer-Policy: strict-origin-when-cross-origin

意义

减少与第三方共享的 Referrer 信息量。
保护敏感信息不通过 Referrer 头泄露。

6. Permissions-Policy

描述

管理对浏览器功能的访问，例如地理位置、摄像头和麦克风。

用途

意义

限制哪些源可以使用强大的功能。
通过限制功能访问来增强隐私和安全。

Python 中 HTTP 头的最佳实践

在 Python 中开发 Web 应用程序时，遵循处理 HTTP 头的最佳实践以增强安全性、性能和可靠性至关重要。以下是一些最佳实践和代码示例。

使用安全头

始终包含安全头以保护您的应用程序。以下是如何使用 Flask 框架设置常见的安全头

from flask import Flask, make_response

app = Flask(__name__)

@app.after_request
def set_security_headers(response):
    response.headers['Content-Security-Policy'] = "default-src 'self'; script-src 'self' s://trusted.cdn.com"
    response.headers['X-Content-Type-Options'] = 'nosniff'
    response.headers['X-Frame-Options'] = 'DENY'
    response.headers['Strict-Transport-Security'] = 'max-age=31536000; includeSubDomains'
    response.headers['Referrer-Policy'] = 'no-referrer'
    response.headers['Permissions-Policy'] = 'geolocation=(self), microphone=()'
    return response

@app.route('/')
def index():
    return 'Hello, World!'

if __name__ == '__main__':
    app.run(ssl_context='adhoc')

输出

当您访问 `/` 端点时，响应头将包含所有指定的安全头。

验证和清理输入

始终验证和清理输入以防止注入攻击。这不仅包括表单数据，还包括头。

from flask import request

@app.route('/data', methods=['POST'])
def data():
    user_agent = request.headers.get('User-Agent')
    if not user_agent or 'malicious' in user_agent:
        return 'Invalid User-Agent', 400
     Process the valid input
    return 'Data received'

输出

If a malicious User-Agent is detected, the server responds with a 400 status code.

使用身份验证和授权头

确保请求包含正确的身份验证和授权头。根据需要使用令牌或基本身份验证。

from flask import request, jsonify

@app.route('/secure-data', methods=['GET'])
def secure_data():
    auth = request.headers.get('Authorization')
    if auth and auth.startswith('Bearer '):
        token = auth.split(' ')[1]
         Validate token (implementation depends on your auth system)
        if validate_token(token):
            return jsonify({'data': 'Secure data'})
    return 'Unauthorized', 401

def validate_token(token):
     Dummy validation logic
    return token == 'valid-token'

输出

Only requests with a valid token in the Authorization header will receive the secure data.

安全地处理 Cookie

处理 cookie 时，请确保使用安全属性（例如 `HttpOnly` 和 `Secure`）进行设置。

from flask import make_response

@app.route('/set-cookie')
def set_cookie():
    response = make_response('Cookie is set')
    response.set_cookie('session_id', 'abc123', only=True, secure=True)
    return response

输出

The response will set a secure, HttpOnly cookie.

速率限制和节流

实施速率限制以防止滥用和 DoS 攻击。

from flask_limiter import Limiter

limiter = Limiter(app, key_func=get_remote_address)

@app.route('/limited')
@limiter.limit('5 per minute')
def limited():
    return 'This endpoint is rate limited'

输出

Accessing the `/limited` endpoint more than 5 times per minute will result in a 429 Too Many Requests response.

记录 HTTP 头以进行调试

记录头可以帮助您调试问题和监控流量。确保敏感数据被编辑。

import logging

@app.after_request
def log_headers(response):
    headers = dict(request.headers)
    headers.pop('Authorization', None)   Remove sensitive headers
    app.logger.info(f'Request Headers: {headers}')
    return response

输出

INFO:werkzeug:127.0.0.1 - - [26/May/2024 12:34:56] "GET / HTTP/1.1" 200 -
INFO:root:Request Headers: {'Host': 'localhost:5000', 'User-Agent': 'curl/7.68.0', 'Accept': '*/*'}

安全地使用 `requests` 库

在 Python 中使用 `requests` 库发出 HTTP 请求时，始终验证 SSL 证书并使用安全头。

import requests

url = 's://example.com/api'

headers = {
    'Authorization': 'Bearer valid-token',
    'Accept': 'application/json'
}

response = requests.get(url, headers=headers)

if response.status_code == 200:
    print(response.json())
else:
    print('Request failed:', response.status_code)

输出

{
    "id": 123,
    "name": "Example Item",
    "description": "This is an example description.",
    "price": 19.99,
    "in_stock": true,
    "categories": ["example", "test", "api"]
}

HTTP 安全头和 Python 中的最佳实践对于构建安全高效的 Web 应用程序至关重要。通过实施这些头并遵循最佳实践，您可以显著增强应用程序的安全态势，防止常见的 Web 漏洞，并确保可靠和高性能的 Web 通信。无论您是开发简单的 Web 服务还是复杂的 API，这些原则都将帮助您创建健壮和安全的应用程序。

下一个主题Python 数据库教程

Python

Java

.Net Framework

AI, ML and Data Science

Cloud Technology

B.Tech and MCA

Web Technology

PHP

Software Testing

Technical Interview

Java Interview

Python

Web Interview

Database Interview

B.Tech / MCA

Important Interview

Software Testing Interview

Company Interviews

Online Compilers

Multiple Choice Questions

其他