跳到主要内容

MLflow 跟踪服务器安全性

MLflow 3.5.0+ 包含安全中间件,以防止 DNS 重新绑定、CORS 攻击和点击劫持。这些功能可用于基于 FastAPI 的默认跟踪服务器 (uvicorn)。

快速入门

根据您的部署场景配置安全性

# Local development (secure by default)
mlflow server

# Team server
mlflow server --host 0.0.0.0 \
  --allowed-hosts "mlflow.internal:5000" \
  --cors-allowed-origins "https://notebook.internal"

# Production
export MLFLOW_SERVER_ALLOWED_HOSTS="mlflow.company.com"
export MLFLOW_SERVER_CORS_ALLOWED_ORIGINS="https://app.company.com"
mlflow server --host 127.0.0.1

安全功能

跟踪服务器包含这些内置保护措施

DNS 重新绑定保护

验证 Host 标头,以防止攻击内部服务

CORS 保护

控制哪些 Web 应用可以访问您的 MLflow API

防止点击劫持

X-Frame-Options 标头控制 iframe 嵌入

安全标头

自动标头可防止 MIME 嗅探和 XSS

文档

了解如何配置和使用安全功能

配置

配置安全设置

配置 →

UI 访问

启用远程访问和 iframe 嵌入

设置访问 →

默认行为

安全默认设置旨在在本地开发中安全使用,但在生产环境中需要显式配置

功能默认值生产
主机验证localhost + 私有 IP配置特定域
CORS 源任何 localhost 源特定应用程序源
iframe 嵌入SAMEORIGINSAMEORIGIN 或 CSP