Google App Engine 安全脚手架 Python 2.7 项目教程
1. 项目介绍
1.1 项目概述
gae-secure-scaffold-python 是一个为 Google App Engine 的 Python 2.7 运行时环境设计的开源项目。该项目提供了一个安全的脚手架,旨在为开发者提供一个安全的基础,以便在其上构建额外的功能。请注意,这不是一个官方的 Google 产品。
1.2 项目结构
项目的主要目录结构如下:
/- 顶级目录,包含通用文件,如app.yaml。/js- 用于未编译的 JavaScript 资源。/src- 包含所有源代码。/static- 用于静态内容。/templates- 用于 Django/Jinja2 模板,应用渲染的模板。/templates/soy- 用于 Closure Templates,应用使用的模板。
1.3 安全特性
该项目通过一系列基础类(位于 src/base/handlers.py)提供了以下默认的安全保证:
- 设置各种安全头(如
Strict-Transport-Security、X-Frame-Options等),以帮助防止跨站脚本攻击(XSS)和跨站脚本包含攻击。 - 强制使用模板系统(支持 Django/Jinja2)来防止通过字符串拼接构建 HTML。
- 测试请求头,确保 Cron 或 Task 端点的请求由 AppEngine 服务环境或应用管理员发起。
- 默认验证 XSRF 令牌,确保除 GET、HEAD 或 OPTIONS 之外的请求是安全的。
2. 项目快速启动
2.1 环境准备
确保你已经安装了以下软件:
node.js >= 0.8.0gitcurl
2.2 依赖安装
从项目的根目录执行以下命令:
git submodule init
git submodule update
cd closure-compiler
mvn -pl externs/pom.xml pom-main.xml pom-main-shaded.xml
cd ../closure-templates && mvn && cd ..
npm install
mkdir $HOME/bin
cd $HOME/bin
npm install grunt-cli
export PATH=$HOME/bin/node_modules/grunt-cli/bin:$PATH
2.3 本地开发
运行以下命令以启动本地开发服务器:
grunt clean
grunt
grunt appengine:run:app
2.4 部署到 AppEngine
运行以下命令以部署到 AppEngine:
grunt clean
grunt --appid=<appid>
grunt appengine:update:app --appid=<appid>
3. 应用案例和最佳实践
3.1 静态网站
使用 app.yaml 配置文件来服务主页和所有静态资源,确保 HTTPS 和安全头。
3.2 多语言网站
配置根页面处理程序,根据 Accept-Language 头将访问者重定向到 /intl/<code>。
3.3 安全 Flask 应用
使用 securescaffold 创建一个具有安全默认设置的应用,并展示如何自定义和扩展应用以满足常见需求。
4. 典型生态项目
4.1 Closure Compiler
用于编译 JavaScript 资源,确保代码的安全性和性能。
4.2 Closure Templates
用于生成模板,支持严格的模式以确保上下文自动转义。
4.3 Flask
用于构建动态 Web 应用,结合 securescaffold 提供的安全特性,确保应用的安全性。
通过以上步骤,你可以快速启动并部署一个安全的 Google App Engine 应用,并根据最佳实践进行开发和扩展。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
