Python http.server 模块的安全风险与加固方案

（4）使用 HTTPS

• 通过 ssl 模块包装：openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out cert.pem 然后配合 python3 -m http.server 8080 --bind 0.0.0.0 --ssl-cert cert.pem --ssl-key key.pem

（5）生产环境替换方案

• Nginx：高性能、安全的静态文件服务器。
• Apache：支持复杂配置和访问控制。
• Flask/Django：带路由和权限管理的应用服务器。

4. 总结

• 漏洞情况：最新版本的 http.server 无已知高危漏洞，但它不是为生产环境设计的。
• 安全风险：默认配置会暴露文件、无加密、无认证。
• 建议：
  1. 限制访问范围（--bind 127.0.0.1）。
  2. 在空目录中运行。
  3. 添加身份验证和 HTTPS。
  4. 生产环境使用专业服务器。

如果临时使用，为了快速搭建一个应急用的服务器，这里有一个安全加固版的 Python HTTP 服务器脚本，它会包含以下安全特性：

安全特性

1. 目录白名单：只允许访问指定目录，防止越权访问。
2. 身份验证：支持 HTTP Basic Auth。
3. HTTPS 加密：通过 SSL/TLS 加密传输。
4. 访问日志：记录访问请求（方便审计）。
5. 禁用目录列表：防止直接列出目录内容。

安全加固版 Python HTTP 服务器脚本

import os
import ssl
import base64
import logging
from http.server import HTTPServer, SimpleHTTPRequestHandler

# ===== 配置 =====
HOST = '0.0.0.0'       # 监听地址，0.0.0.0 表示允许外网访问
PORT = 8080            # 监听端口
WHITELIST_DIR = '/tmp/web'  # 允许访问的目录
USERNAME = 'admin'     # 用户名
PASSWORD = 'securepass'  # 密码
CERT_FILE = 'cert.pem' # SSL 证书
KEY_FILE = 'key.pem'   # SSL 私钥

# 初始化日志
logging.basicConfig(
    level=logging.INFO,
    format='%(asctime)s - %(levelname)s - %(message)s',
    handlers=[
        logging.FileHandler('access.log'),
        logging.StreamHandler()
    ]
)

class SecureHTTPRequestHandler(SimpleHTTPRequestHandler):
    def __init__(self, *args, **kwargs):
        # 切换到白名单目录
        os.chdir(WHITELIST_DIR)
        super().__init__(*args, **kwargs)

    def do_AUTHHEAD(self):
        self.send_response(401)
        self.send_header('WWW-Authenticate', 'Basic realm="Secure File Server"')
        self.send_header('Content-type', 'text/html')
        self.end_headers()

    def do_GET(self):
        # 1. 检查认证
        auth_header = self.headers.get('Authorization')
        if not auth_header or not auth_header.startswith('Basic '):
            self.do_AUTHHEAD()
            self.wfile.write(b'401 Unauthorized: Authentication required.')
            logging.warning(f"Unauthorized access attempt from {self.client_address[0]}")
            return

        # 2. 验证用户名和密码
        try:
            auth_decoded = base64.b64decode(auth_header.split(' ')[1]).decode('utf-8')
            username, password = auth_decoded.split(':')
        except Exception:
            self.do_AUTHHEAD()
            self.wfile.write(b'401 Unauthorized: Invalid credentials.')
            logging.warning(f"Invalid credentials from {self.client_address[0]}")
            return

        if username != USERNAME or password != PASSWORD:
            self.do_AUTHHEAD()
            self.wfile.write(b'401 Unauthorized: Invalid username or password.')
            logging.warning(f"Failed login from {self.client_address[0]}")
            return

        # 3. 检查路径是否在白名单目录内
        path = self.translate_path(self.path)
        if not path.startswith(os.path.abspath(WHITELIST_DIR)):
            self.send_response(403)
            self.send_header('Content-type', 'text/html')
            self.end_headers()
            self.wfile.write(b'403 Forbidden: Access denied.')
            logging.warning(f"Directory traversal attempt from {self.client_address[0]}: {self.path}")
            return

        # 4. 禁用目录列表
        if os.path.isdir(path):
            self.send_response(404)
            self.send_header('Content-type', 'text/html')
            self.end_headers()
            self.wfile.write(b'404 Not Found: Directory listing disabled.')
            logging.info(f"Directory listing attempt from {self.client_address[0]}: {self.path}")
            return

        # 5. 正常响应
        logging.info(f"Access from {self.client_address[0]}: {self.path}")
        super().do_GET()

    def log_message(self, format, *args):
        # 自定义日志格式
        logging.info(f"{self.client_address[0]} - {format % args}")

def run_server():
    # 创建服务器
    server_address = (HOST, PORT)
    httpd = HTTPServer(server_address, SecureHTTPRequestHandler)

    # 启用 HTTPS
    context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
    context.load_cert_chain(certfile=CERT_FILE, keyfile=KEY_FILE)
    httpd.socket = context.wrap_socket(httpd.socket, server_side=True)

    print(f"Secure HTTP server running on https://{HOST}:{PORT}")
    print(f"Whitelisted directory: {WHITELIST_DIR}")
    try:
        httpd.serve_forever()
    except KeyboardInterrupt:
        print("\nServer stopped.")
        httpd.server_close()

if __name__ == '__main__':
    # 检查目录是否存在
    if not os.path.isdir(WHITELIST_DIR):
        os.makedirs(WHITELIST_DIR)
        print(f"Created whitelist directory: {WHITELIST_DIR}")

    # 检查证书和密钥
    if not (os.path.isfile(CERT_FILE) and os.path.isfile(KEY_FILE)):
        print("Generating self-signed SSL certificate...")
        os.system(f"openssl req -newkey rsa:2048 -nodes -keyout {KEY_FILE} -x509 -days 365 -out {CERT_FILE} -subj '/CN=localhost'")

    run_server()

使用步骤

1. 保存脚本

将上面的代码保存为 secure_server.py。

2. 安装依赖

脚本使用 Python 标准库，无需额外安装依赖。

3. 生成 SSL 证书

首次运行会自动生成自签名证书：

python3 secure_server.py

4. 启动服务器

python3 secure_server.py

5. 访问测试

浏览器访问：

https://your-ip:8080

会提示输入用户名（admin）和密码（securepass）。

安全建议

• 密码：生产环境中建议使用强密码，并通过环境变量或配置文件读取，而不是硬编码。
• 证书：生产环境中建议使用可信 CA 签发的证书，而不是自签名证书。
• 防火墙：配合防火墙限制访问 IP 范围。
• 日志：定期查看 access.log 以检测异常访问。