LabEx
登录免费加入

安全的 Flask Web 应用程序开发

Beginner

This tutorial is from open-source community. Access the source code

简介

在本实验中,我们将探讨使用 Flask 开发 Web 应用程序时的重要安全注意事项。我们将涵盖诸如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、JSON 安全、安全标头和安全 Cookie 选项等主题。通过遵循这些步骤,你将学习如何增强 Flask 应用程序的安全性。

注意:你需要自己创建代码文件并在环境中运行它。你可以在 Web 5000 上预览 Flask 服务状态。

跨站脚本攻击(XSS)

跨站脚本攻击(XSS)是一种漏洞,攻击者可借此将恶意脚本注入用户查看的网页中。要在 Flask 中防止 XSS 攻击,请遵循以下准则:

  • 始终对文本进行转义,以防止包含任意 HTML 标签。
  • 在没有 Jinja2 模板帮助的情况下生成 HTML 时要谨慎。
  • 使用 Markup 类对用户提交的数据进行转义。
  • 避免从上传的文件中发送 HTML 或文本文件。

示例代码:

## app.py

from flask import Flask, render_template_string, Markup

app = Flask(__name__)

@app.route('/')
def index():
    value = '<script>alert("XSS Attack")</script>'
    safe_value = Markup.escape(value)
    return render_template_string('<input value="{{ value }}">', value=safe_value)

要运行此代码,请将其保存在名为 app.py 的文件中,并执行命令 flask run

跨站请求伪造(CSRF)

跨站请求伪造(CSRF)是一种攻击方式,它会诱使用户在网站上执行非预期的操作。要在 Flask 中防止 CSRF 攻击,请遵循以下准则:

  • 使用一次性令牌来验证修改服务器内容的请求。
  • 将令牌存储在 Cookie 中,并随表单数据一起传输。
  • 将服务器接收到的令牌与存储在 Cookie 中的令牌进行比较。

示例代码:

## app.py

from flask import Flask, request, session, redirect, url_for

app = Flask(__name__)
app.secret_key = 'secret_key'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/delete', methods=['POST'])
def delete_user():
    if request.method == 'POST':
        token = request.form.get('token')
        if token and token == session.get('csrf_token'):
            ## 删除用户资料
            return redirect(url_for('index'))
    return '无效请求'

if __name__ == '__main__':
    app.run()

要运行此代码,请将其保存在名为 app.py 的文件中,并执行命令 flask run

JSON 安全

在 Flask 中,确保 JSON 响应的安全性很重要。在 Flask 0.10 之前的版本中,由于安全漏洞,顶级数组不会被序列化为 JSON。不过,这种行为已经改变,现在顶级数组会被序列化。建议使用最新版本的 Flask 以利用这一安全改进。

安全标头

浏览器通过识别各种响应标头来控制安全性。建议你在 Flask 应用程序中检查并使用以下安全标头:

  • HTTP 严格传输安全(HSTS):告知浏览器将所有 HTTP 请求转换为 HTTPS。
  • 内容安全策略(CSP):指定各种类型的资源可以从何处加载。
  • X-Content-Type-Options:强制浏览器遵守响应内容类型。
  • X-Frame-Options:防止外部网站将你的网站嵌入到 iframe 中。

你可以使用 Flask-Talisman 扩展来管理 Flask 应用程序中的 HTTPS 和安全标头。

在 Flask 中设置 Cookie 时,考虑安全选项以保护敏感数据非常重要。一些推荐的选项如下:

  • Secure:将 Cookie 限制为仅通过 HTTPS 流量传输。
  • HttpOnly:保护 Cookie 的内容不被 JavaScript 读取。
  • SameSite:限制从外部站点发送请求时如何发送 Cookie。

示例代码:

## app.py

from flask import Flask, make_response

app = Flask(__name__)

@app.route('/')
def index():
    response = make_response('Hello, world!')
    response.set_cookie('username', 'flask', secure=True, httponly=True, samesite='Lax')
    return response

if __name__ == '__main__':
    app.run()

要运行此代码,请将其保存在名为 app.py 的文件中,并执行命令 flask run

HTTP 公钥固定(HPKP)

HTTP 公钥固定(HPKP)是一项安全功能,它告知浏览器仅使用特定的证书密钥与服务器进行身份验证。虽然这可以增强安全性,但如果设置或升级不正确,也很难撤销。请谨慎考虑使用 HPKP,并确保进行正确的配置。

总结

在本实验中,我们探讨了使用 Flask 开发 Web 应用程序时的重要安全注意事项。我们介绍了防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)攻击的措施,以及确保 JSON 响应安全、设置安全标头和 Cookie 选项的方法。通过遵循这些安全实践,你可以增强 Flask 应用程序的安全性,并保护用户数据免受潜在漏洞的影响。