一尘不染

为什么在Django中使用线程本地变量不好?

django

从设计的角度来看,线程局部变量本质上是全局变量,并且受全局变量通常带来的所有可移植性和可预测性问题困扰。

更重要的是,从安全性的角度来看,线程本地构成了巨大的风险。通过提供公开其他线程状态的数据存储,可以为Web服务器中的一个线程提供一种潜在地修改系统中另一个线程的状态的方法。如果threadlocal数据包含用户的描述或其他与身份验证相关的数据,则该数据可用作授予未授权用户访问权限或公开用户私人详细信息的攻击的基础。虽然可以构建一个免受此类攻击安全的线程本地系统,但防御起来和构建一开始就不受任何此类漏洞影响的系统要容易得多。

我知道为什么全局变量可能很糟糕,但是在这种情况下,我正在自己的服务器上运行自己的代码,所以我看不到两个全局变量会带来什么危险。

有人可以解释所涉及的安全问题吗?我问过很多人,如果他们读了这篇文章并且知道我使用的是线程本机,他们将如何对我的应用程序进行黑客入侵,但是没人能告诉我。我开始怀疑这是爱头发的纯粹主义者热衷于明确传递物体的观点。


阅读 368

收藏
2020-03-27

共1个答案

一尘不染

我完全不同意。TLS非常有用。应谨慎使用,就像全局变量应谨慎使用一样。但是说根本不应该使用它就像说不应该使用全局变量一样荒谬。

例如,我将当前活动的请求存储在TLS中。这使得它可以从我的日志记录类访问,而不必通过每个接口传递请求-包括许多根本不关心Django的接口。它使我可以从代码中的任何位置进行日志输入。记录器将输出到数据库表,如果在创建日志时碰巧一个请求处于活动状态,它将记录诸如活动用户和所请求内容之类的内容。

如果您不希望一个线程具有修改另一个线程的TLS数据的功能,则将TLS设置为禁止此操作,这可能需要使用本机TLS类。但是,我认为这种说法没有说服力。如果攻击者可以执行任意Python代码作为您的后端,则您的系统已经受到致命威胁-例如,他可以猴子修补任何内容,以便稍后以其他用户身份运行。

显然,您将需要在请求结束时清除所有TLS。在Django中,这意味着在中间件类的process_response和process_exception中清除它。

2020-03-27