FastAPI中怎么防止点击劫持攻击

要防止点击劫持攻击，可以在FastAPI应用程序中添加一些安全策略来保护用户数据和应用程序的安全。以下是一些建议的做法：

1. 添加 X-Frame-Options 头部： 在FastAPI应用程序中添加X-Frame-Options头部，可以防止网页被嵌入到iframe中，从而减少点击劫持攻击的风险。

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

# 添加 X-Frame-Options 头部
@app.middleware("http")
async def add_security_headers(request, call_next):
    response = await call_next(request)
    response.headers["X-Frame-Options"] = "SAMEORIGIN"
    return response

2. 使用 Content Security Policy（CSP）： Content Security Policy是一种Web标准，可以帮助防止XSS攻击和点击劫持攻击。通过在FastAPI应用程序中添加CSP头部，可以限制页面加载的资源来源，防止恶意脚本的注入。

# 添加 Content-Security-Policy 头部
@app.middleware("http")
async def add_security_headers(request, call_next):
    response = await call_next(request)
    response.headers["Content-Security-Policy"] = "default-src 'self'"
    return response

3. 使用 CSRF（Cross-Site Request Forgery）保护： CSRF攻击是另一种常见的网络攻击方式，可以通过在FastAPI应用程序中使用CSRF保护来防止此类攻击。可以使用FastAPI的CSRF保护中间件来生成和验证CSRF令牌。

from fastapi_csrf import CSRF

# 使用 CSRF 保护
csrf = CSRF(app)

@app.post("/login")
async def login():
    # 生成 CSRF 令牌
    token = csrf.create_csrf_token()
    return {"token": token}

通过以上安全策略的组合使用，可以有效地防止点击劫持攻击，并提升FastAPI应用程序的安全性。