Cuando se devuelve HTML (el tipo de respuesta predeterminado en Flask), cualquier valor proporcionado por el usuario que se muestre en la salida debe escaparse para protegerse de ataques de inyección. En esta práctica, aprenderá a usar escape para lograr esto. Además, las plantillas HTML renderizadas con Jinja, que se presentan más adelante, lo harán automáticamente. Por ahora, puede simplemente usar escape para hacer esto manualmente.
En este paso, aprenderá a usar escape para protegerse de los ataques de inyección.
html_escaping.py y primero importe la clase Flask y escape.from flask import Flask
from markupsafe import escapeFlask.app = Flask(__name__)route() para crear una ruta / con una función de vista llamada escaping. En la función, defina un fragmento de código JavaScript y use escape para renderizarlo como texto, escapando cualquier carácter que tenga un significado especial en HTML.@app.route('/')
def escaping():
input = "<script>alert('XSS attack');</script>"
escaped_input = escape(input)
return f"User input: {escaped_input}"main del script para iniciar la aplicación Flask en el puerto 5000, habilitando el modo de depuración.if __name__ == "__main__":
app.run(host='0.0.0.0', port=5000, debug=True)python3 html_escaping.pyLuego abra la pestaña "Web 5000" ubicada en la parte superior de la interfaz, actualice la página y debería ver el mensaje:
<script> se muestran seguras como texto sin ser ejecutadas como JavaScript, demostrando la prevención de un ataque XSS.En esta práctica, hemos aprendido cómo usar escape para escapar manualmente la entrada. Esto puede ser muy útil cuando se trata de ataques potencialmente dañinos. Más adelante aprenderemos cómo renderizar plantillas con Jinja, que puede hacer esto de manera automática y eficiente.
