安全性与Pyscript

Question

我正在编写Python编辑器，它可以执行python代码并返回输出。我最初的想法是为它编写一个后端服务，它将运行Python脚本并返回输出。然而，随着Pyscript的发布，我想知道我是否可以在前端完成它。

我最关心的问题之一是安全性，因为Python编辑器可能需要连接AWS资源(例如数据库、Dynamodb、RDS.)。使用凭据连接AWS资源是一个安全问题吗？正如我所看到的，Pyscript也混淆了Python代码，因此我有点困惑。

谢谢你的答复

Answer 1

然而，随着Pyscript的发布，我想知道我是否可以在前面完成它。

是。互联网上有一些例子。此存储库在浏览器中有一个repl示例：

https://github.com/pyscript/pyscript/tree/main/pyscriptjs/examples

我最关心的问题之一是安全性，因为Python可能需要连接AWS资源(例如数据库、Dynamodb、RDS.)。使用凭据连接AWS资源是一个安全问题吗？

这是一个非常大的问题。Pyscript将在Python代码中公开凭据，这些凭据可以从浏览器调试窗口轻松读取，或者只需使用CLI (如curl或wget )下载即可。

正如我所看到的，Pyscript也混淆了

代码，因此我有点困惑。

我不知道您看到了什么困惑，但是您不能向浏览器或可以下载HTML和Python文件的工具隐藏任何东西。这不会提高您的安全性，因为Pyscript的源代码安全性为零。

Answer 2

编辑:见下面约翰·汉利的评论，解释为什么我的想法行不通。

您不能将凭据放在服务器上的文本文件中，放在一个公众无法访问的文件夹中吗？然后在<py-script>标记中运行：

with open("../../secure_directory/my_secrets.txt") as f:
    my_secrets = f.read()

这是否能稍微提高一些安全水平？

Answer 3

解决方案是使用py-env标记，但是