Flask的奥秘二

最新推荐文章于 2023-07-04 02:34:53 发布
最新推荐文章于 2023-07-04 02:34:53 发布
阅读量184 收藏
点赞数
分类专栏: flask框架 文章标签: python flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41888962/article/details/106771565
版权

一、flask中的session

首先我们了解一下session和cookie

  • session被用于记录用户的状态,它是运行在服务器端的,根据session id来获取用户的状态
  • cookie用于记录用户信息的,运行在客户端,与session有一定的关系,session id就是从cookie中获取的,如果用户禁止使用cookie,那么session也会无法使用,除非是手动传递session id

在flask中,session的本质是一个字典

flask中如何使用session来记录用户的数据呢?

  1. 导入session,并要设置配置文件(下一个小节讲)
from flask import session

app = Flask(__name__)
# 这个是为了确保安全性的,可以设置任意值
app.secret_key = ''
  1. 使用session
# 存入信息(字典添加元素的方法)
session['key'] = value

# 取出信息
data = session.get("key")

二、配置flask的方法

这里只说几种常用的方法

实例化一个Flask对象为app
1、直接调对象的属性来设置值
app.secret_key = " "
2、调用app的config属性来设置值
app.config[“secret_key”] = " "
3、根据py文件来设置值
app.config.from_pyfile(“文件路径”)
example
setting.py中代码:

SECRET_KEY = '123456'

4、根据类来设置值
app.config.from_object(“文件名.类名”)
example
setting.py中代码:

class config(object): 
	SECRET_KEY = '123456'

配置参数的默认值:

{
    'DEBUG':                                get_debug_flag(default=False),  是否开启Debug模式
    'TESTING':                              False,                          是否开启测试模式
    'PROPAGATE_EXCEPTIONS':                 None,                         
    'PRESERVE_CONTEXT_ON_EXCEPTION':        None,
    'SECRET_KEY':                           None,
    'PERMANENT_SESSION_LIFETIME':           timedelta(days=31),
    'USE_X_SENDFILE':                       False,
    'LOGGER_NAME':                          None,
    'LOGGER_HANDLER_POLICY':               'always',
    'SERVER_NAME':                          None,
    'APPLICATION_ROOT':                     None,
    'SESSION_COOKIE_NAME':                  'session',
    'SESSION_COOKIE_DOMAIN':                None,
    'SESSION_COOKIE_PATH':                  None,
    'SESSION_COOKIE_HTTPONLY':              True,
    'SESSION_COOKIE_SECURE':                False,
    'SESSION_REFRESH_EACH_REQUEST':         True,
    'MAX_CONTENT_LENGTH':                   None,
    'SEND_FILE_MAX_AGE_DEFAULT':            timedelta(hours=12),
    'TRAP_BAD_REQUEST_ERRORS':              False,
    'TRAP_HTTP_EXCEPTIONS':                 False,
    'EXPLAIN_TEMPLATE_LOADING':             False,
    'PREFERRED_URL_SCHEME':                 'http',
    'JSON_AS_ASCII':                        True,
    'JSON_SORT_KEYS':                       True,
    'JSONIFY_PRETTYPRINT_REGULAR':          True,
    'JSONIFY_MIMETYPE':                     'application/json',
    'TEMPLATES_AUTO_RELOAD':                None,
}

三、模板

1、flask使用的是jinja2模板,所以与django的使用方法相似,就是当要调用函数的时候,flask需要括号,而django不需要
2、在前端可以使用管道safe防止xss攻击,在后端可以使用Markup函数防止xss攻击
前端如:{{f()|safe}}
后端如:

def fun():
    return Markup("<h1>hahaha</h1>")
    
@app.route('/')
def index():
    return render_template('model.html', f=fun)  # 传递一个函数

	XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

ps:不行了,不行了,太困了,睡觉了.

恐●v●易燃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python Flask-Security- 构建安全而强大的Web应用
qq_53058639的博客
03-04 1052
Flask-Security旨在简化Web应用的安全性管理,涵盖了用户认证、角色管理、密码重置等多个方面。通过Flask-Security,可以轻松实现强大的用户身份验证和授权管理。Flask-Security是构建安全而强大的Web应用的理想选择,为开发者提供了全面的安全解决方案。通过介绍其核心功能、基本用法和高级特性,本文想要帮助大家更深入地了解和应用这一强大的Flask扩展。在基本用法中,分享了如何配置和使用Flask-Security来实现用户认证、角色管理等基本功能。
Flask 8(数据安全)
这里的分享,都是干货
03-01 552
Flask 数据安全1、哈希加密用户密码1.1、建立模型1.2、新建注册登录html1.3、路由1.4、运行并访问2、改进3、登录错误信息传递 1、哈希加密用户密码 以用户注册登录为例 1.1、建立模型 模型 class User(db.Model): id = db.Column(db.Integer, primary_key=True, autoincrement=True) ...
flask入门教程(19) - 安全注意事项
pynickle的博客
08-25 726
安全注意事项 网站是容易被攻击的,所以我们要做好准备,我们主要介绍两种方式: XSS(跨站脚本攻击) 跨站脚本攻击是指在一个网站的环境中注入恶任意的HTML和js。为了防止这一攻击,我们要转义HTML。 在 Flask 中,除非显式指明不转义, Jinja2 会自动转义所有值。这样可以排除所 有模板导致的 XSS 问题,但是其它地方仍需小心: 不使用 Jinja2 生成 HTML 。 在用户提交...
Flask(python web框架)安全
热门推荐
Love&Share
03-04 1万+
Flask 作为一个 WEB 框架来说内部封装的安全性的措施很多,基本解决了常见的 web 漏洞,下面介绍 Flask 是如何来避免产生 常见的 web 漏洞。 SQL注入: Flask 使用 ORM 对象关系映射的数据库管理方式,同时 Flask 框架内部也封装了许多安全性的函数,对于 SQL 注入拥有一定防护力,如图 Flask 中单引号会自动进行转义 XSS: Flask 使用 Jinja2 模板引擎,Jinja 会默认将渲染变量进行 HTML 实体转义 @user_bp.route('/test2
网络安全测试中的跨站点脚本攻击(XSS):Python和FlaskSecurity实现跨站脚本攻击测试
禅与计算机程序设计艺术
07-04 4003
作者:禅与计算机程序设计艺术 《33. 网络安全测试中的跨站点脚本攻击(XSS):Python和Flask-Security实现跨站脚本攻击测试》 引言
编码的奥秘
01-28
编码的奥秘,介绍计算机相关的基础知识,完整版本,带目录。
编码的奥秘_PDF完整版
09-24
编码的奥秘_PDF完整版,编码:隐匿在计算机背后的语言
编码的奥秘.pdf
06-22
本书用大量的篇幅讲述了与计算机原理相关的各种编码方法,并通过数字逻辑电路以及存储器,微处理器的形成,组织及发展阐述了编码的实现。本书还涉及到计算机系统,编程语言的发展,甚至对计算机图形化的相关技术也给...
C语言指针的奥秘.doc
12-02
C语言指针的奥秘.doc
python 网络安全_【网络安全】Python Flask XSS 防范
weixin_39601194的博客
12-09 487
0x01前言学习Django没多久,我发现微服务用Flask写非常简便~~在此之前,我并没有对 Flask 的安全问题有太多想法。直到有一天,我尝试对部署在公司的 Flask 网站进行渗透测试,我发现,它没那么安全。网站是我写的~哈!0x02构造攻击数据我尝试在外网进行了一次恶意请求,发现防火墙能够成功识别并拦截它。实际上这是在我意料之中,这么直白的攻击手段如果不能拦截说明防火墙该...
flask-security:Flask应用程序的快速简单安全性
02-23
笔记 该项目不再维护。 考虑将项目作为替代方案。 烧瓶安全 它可以快速向Flask应用程序添加安全功能。 资源
python的flask解决xss攻击漏洞
石磊
12-22 4699
版权声明:可以任意转载,转载时请标明文章原始出处-xjtushilei和作者信息:石磊 xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取c
每日10行代码180:flask中用escape来防止html逃逸,避免xss攻击
天天卡丁的博客
03-26 808
其实我最开始的代码就是hello_world3,但是输了后发现报错,原因是这一串js代码里有斜线,而flask把斜线当成路由的分隔标志。正确的应该是像hello_world1中那样。继续学习flask,今天学到了:https://flask.palletsprojects.com/en/2.2.x/quickstart/#html-escaping。因为flask的路由函数接收到内容后会默认把他当成html来解析,这样就有可能产生安全问题。这节讲了一escape这个函数,我写了一小段代码来测试下。
flask session安全问题(转载)
weixin_44140395的博客
10-04 1368
摘自I春秋 yanzm 师傅的文章。原文链接:https://bbs.ichunqiu.com/thread-53404-1-1.html 侵删 本篇文章主要以一个ctf选手的视角来讲一下flask session所可能存在的问题,既然提到了session,那么首先普及一下session这个知识点,简单来说session是浏览器与服务器交互的会话,这个session可以来验证访问者的身份,大多数的session都是保存在服务器的,但是也有少部分是客户端session,就比如我们今天所要将的flask框架
Flask安全登录的完整验证逻辑
u011238098的博客
12-03 1258
使用Flask验证用户的完整逻辑 参考文档来源于 Flask官方文档 修饰器原理 Flask上下文概念 访问规则设计 1⃣️验证访问IP与浏览器session的访问次数,用于限制人机暴力(查看代码)攻击 2⃣️在访问页面前before_request(查看代码)将所有用户信息取出,比如用户id,session,页面权限列表 3⃣️验证用户身份,验证是否已登录(查看代码)、设置cookie...
关于flask线程安全的简单研究
weixin_30731305的博客
07-15 212
  flask是python web开发比较主流的框架之一,也是我在工作中使用的主要开发框架。一直对其是如何保证线程安全的问题比较好奇,所以简单的探究了一番,由于只是简单查看了源码,并未深入细致研究,因此以下内容仅为个人理解,不保证正确性。   首先是很多文章都说flask会为每一个request启动一个线程,每个request都在单独线程中处理,因此保证了线程安全。于是就做了一个简单的测试。首...
Flask框架中常规漏洞防范方法
bluemoon_0的博客
01-10 646
Flask框架中常规漏洞防范方法
【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 6193
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 Flask和Jinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 Flask和Jinja2介绍: 1.Flask是一个轻量级的基于Python的web框架。 2.Jinja 模板只是一个属于.
网络安全初探-XSS攻击方式&&防御手段
LYFlied的博客
05-19 827
文章目录一、什么是 XSS二、XSS注入的方法三、XSS 攻击的分类1.反射型XSS2.存储型XSS3.DOM型XSS四、XSS 攻击的预防1.预防 DOM 型 XSS 攻击2.输入过滤3.拼接HTML时对其进行转义4.Content Security Policy5.其他安全措施 一、什么是 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Coo
编码的奥秘 epub
最新发布
10-27
这种编码方式的奥秘在于它的灵活性和可读性。 首先,EPUB使用了一种基于XML的标记语言来编码文本和样式。这种标记语言称为XHTML,它类似于网页的HTML语言。通过使用XHTML,EPUB能够描述出版物的结构、布局和样式,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值