🛡️ Как закалить FastAPI от уязвимостей (и не дать хакерам испортить жизнь вашему котику)

FastAPI — как пушистый кот: лёгкий, быстрый, отзывчивый и вообще чудо-фреймворк. Но, как и кот, он требует ухода и защиты. Даже самое элегантное приложение может стать лакомым кусочком для атак, если его не укрепить.

Сегодня поговорим, как сделать ваше FastAPI-приложение максимально устойчивым к уязвимостям — без фанатизма, но с любовью к безопасности ❤️.

🧩 1. Обновления и зависимости: меньше старья — меньше дыр

Самая частая уязвимость — устаревшие пакеты.
Используйте инструменты вроде:

pip install safety
safety check

или в CI/CD — pip-audit, который проверит зависимости на известные уязвимости.
А ещё лучше — фиксируйте версии в requirements.txt и обновляйте их раз в месяц (можно поставить cron-задачу или GitLab pipeline).

💡 Интересный факт: в 2023 году более 60% Python-уязвимостей приходились именно на сторонние библиотеки. Котик-девопс бы заплакал, если бы увидел незафиксированные зависимости.

🔐 2. Настройте правильные заголовки безопасности

FastAPI легко интегрируется с Starlette Middleware.
Добавьте заголовки, которые делают жизнь злоумышленников сложнее:

from fastapi import FastAPI
from starlette.middleware.cors import CORSMiddleware
from starlette.middleware.trustedhost import TrustedHostMiddleware

app = FastAPI()

app.add_middleware(
    TrustedHostMiddleware, allowed_hosts=["example.com", "*.example.com"]
)
app.add_middleware(
    CORSMiddleware,
    allow_origins=["https://example.com"],
    allow_credentials=True,
    allow_methods=["GET", "POST"],
    allow_headers=["*"],
)

Также стоит установить HTTP Security Headers через reverse proxy (Nginx, Traefik):

add_header X-Frame-Options "DENY";
add_header X-Content-Type-Options "nosniff";
add_header Referrer-Policy "strict-origin";
add_header Content-Security-Policy "default-src 'self'";

🧑‍💻 3. Валидация входных данных

FastAPI — чемпион по валидации благодаря Pydantic, но не забывайте про:

• строгие типы (constr, conint, EmailStr),
• регулярки (regex=),
• собственные валидаторы (@validator).

Пример:

from pydantic import BaseModel, EmailStr, constr

class User(BaseModel):
    username: constr(min_length=3, max_length=32, regex=r"^[a-zA-Z0-9_]+quot;)
    email: EmailStr

Так вы защититесь от SQL-инъекций, XSS и прочей гадости ещё на уровне данных.

😸 Кошачий лайфхак: валидация — как чистка шерсти. Делайте её регулярно, и будет меньше неприятных сюрпризов.

🧱 4. Ограничение запросов (Rate Limiting)

Без лимитов ваш сервер может легко «улететь в космос» от DDoS или случайного скрипта. Используйте middleware, например slowapi

from slowapi import Limiter
from slowapi.util import get_remote_address
from fastapi import FastAPI

limiter = Limiter(key_func=get_remote_address)
app = FastAPI()
app.state.limiter = limiter

Теперь даже если кто-то захочет заспамить ваш эндпоинт, он упрётся в мягкий, но надёжный firewall.

🧰 5. Хранение секретов и токенов

Никогда не храните пароли и API-ключи в .env рядом с кодом в репозитории.
Лучше используйте Vault, Doppler, AWS Secrets Manager или хотя бы Kubernetes secrets.

А если всё-таки .env, то:

• добавьте .env в .gitignore;
• шифруйте содержимое с помощью fernet или dotenv-vault.

🐾 Факт: в 2024 году исследователи GitGuardian нашли 10 миллионов утекших токенов в публичных репозиториях GitHub. Каждый второй кот-разработчик сказал тогда: «мяу...»

🧠 6. HTTPS и HSTS

Обязательно используйте HTTPS.
В Nginx это просто:

listen 443 ssl;
ssl_certificate /etc/ssl/certs/fullchain.pem;
ssl_certificate_key /etc/ssl/private/privkey.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

🧨 7. Изоляция и политика прав

Если вы деплоите FastAPI в Docker:

• используйте не root пользователя;
• включайте read-only файловую систему, если возможно;
• ограничьте доступ по сети;
• и добавьте seccomp, no-new-privileges.

Пример Dockerfile:

FROM python:3.12-slim
WORKDIR /app
COPY . .
RUN useradd -m appuser
USER appuser
CMD ["uvicorn", "main:app", "--host", "0.0.0.0"]

🐾 Заключение

FastAPI — это мощный, но требовательный зверёк.
Если уделить внимание безопасности — обновлениям, токенам, типам, изоляции и проверкам — ваше приложение станет крепче, чем когти кота на занавеске 🐈‍⬛.

Не забывайте: уязвимости не спят. А значит, пусть ваш CI/CD каждый день будет как дежурный кот, патрулирующий серверную комнату.