flask中安全策略简要说明

于 2024-09-14 10:45:13 发布
阅读量121 收藏 3
点赞数 3
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44862918/article/details/142252465
版权

问题:针对服务安全基础策略

策略一、接口入参长度限制

策略二、接口入参不接收特殊字符

解决方案:
一、flask对象实例化后,提供有config配置

app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024  # 设置为16MB

 二、flask有提供参数校验前的函数,可以以装饰器的方式调用实现接收参数前的处理

from flask import Flask, request, jsonify
 
app = Flask(__name__)
 
# 定义一个函数来校验参数中是否包含特殊字符
def validate_parameters(params):
    for key, value in params.items():
        if not isinstance(value, str):
            continue
        if any(char in value for char in ['<', '>', '&', '"', "'", ';', '\\']):
            return False
    return True
 
@app.before_request
def before_request():
    if request.method in ['POST', 'PUT']:
        if 'application/json' in request.headers.get('Content-Type', ''):
            params = request.get_json()
        else:
            params = request.form
        if not validate_parameters(params):
            return jsonify({'error': 'Parameters contain special characters'}), 400
 
@app.route('/your-endpoint', methods=['POST'])
def your_endpoint():
    # 这里可以安全地使用参数,因为它们已经被校验过不包含特殊字符
    data = request.get_json() if request.is_json else request.form
    # 处理你的逻辑...
    return jsonify({'message': 'Success'}), 200
 
if __name__ == '__main__':
    app.run(debug=True)

小结:提供前置函数,这个思想非常值得学习。本来还在考虑,按正常操作,会需要给每一个路由都添加指定的方法来实现逻辑筛选,这种常规思维的方式会让工作量变的很大。做许多没有意义的事情。后续这个思想会需要继续进行深化

PT、小小马
关注
HTTP同源策略
星曦的博客
08-04 1445
同源策略是web安全策略的一种,非常重要。 同源策略明确规定:不同域的客户端在没有明确授权的情况下,不能读写对方的资源。 简单说来就是web浏览器允许第一个页面的脚本访问访问第二个页面的数据,但是也只有在两个页面有相同的源的时候,如果不同源则需要授权。源:URI(统一资源标识符)、主机名、端口号组合而成的。这个策略可以阻止一个页面上恶意脚本通过页面DOM对象获得访问另一个页面的敏感信息的权限
超炫Flash整站程序 v1.0.rar
07-08
9. **crossdomain.xml**:这是一个XML文件,用于设置Flash Player的安全策略,允许跨域访问,这对于实现Flash内容从不同源获取数据是必要的。 10. **SiteRes**:这个文件夹很可能包含了网站的资源文件,如图片、CSS...
AWVS文使用说明
土的领地 博客
10-24 8239
安全测试工具AWVS
Flash Bootloader
LIAOYUANGANG的博客
05-04 8768
1 欢迎使用 Flash Bootloader 用户手册 1.1 Flash Bootloader 的初学者从这里开始? 您需要有关此文档的一些信息吗?(请查看第3.1章) 什么是Flashing?(请查看第3.3章) 什么是 Flash 引导加载程序?(请查看第2章) 1.2 对于高级用户 从这里开始阅读。(请查看第4章) Flash Bootloader 集成的 5 个步骤。(请查看第5章) 1.3 专题 为什么我需要 2 个断向量表?(请查看第4.6章) 如何定义我的应用程序有效
信息安全复习
u011612364的博客
01-02 3768
ppt可能涉及的重点 通过密码散列函数可以实现保护明文X的完整性,防止报文被篡改。MD5 实现的报文鉴别可以防篡改,但不能防伪造,因而不能真正实现报文鉴别,所以需要报文鉴别码MAC。 报文鉴别码MAC指对散列进行一次加密后的结果,对称加密体制下可以防伪造,非对称加密体制下可以防伪造,防否认(ppt3) 数字签名的实现过程:(ppt3) 一、加解密原理分类(加解密体制) 二、消息摘要的含义、特征、用途 含义:消息摘要是给定某个任意的报文,通过一种特定的算法对报文进行计算,产生的有限位数信息。具有确定性和唯
web安全性测试用例
qq_38262596的博客
02-22 1725
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1.   输入验证客户端验证 服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&amp;*()_+&lt;&gt;:”{}...
awvs 文手册详细版
showgea的博客
11-29 5084
awvs 文手册详细版 目录: 0×00、什么是Acunetix Web Vulnarability Scanner ( What is AWVS?) 0×01、AWVS安装过程、主要文件介绍、界面简介、主要操作区域简介(Install AWVS and GUI Description) 0×02、AWVS的菜单栏、工具栏简介(AWVS menu bar & tools bar...
http网络及安全防护面试题及答案
cen的博客
01-23 7068
1. Http 状态码,Http2 是什么 答案: 200 欢迎回来,主人 (正常;请求已完成。) 301 人家搬家了 (已移动 — 请求的数据具有新的位置且更改是永久的。) 307 不是这里,换个地方啦 (重新请求的 URL,客户端自动重新请求新的地址) 400 不要把奇怪的东西给人家嘛 (错误请求 — 请求有语法问题,或不能满足请求。) 403 这里不可以啦!(禁止 — 即使有授权也不需要访问。) 404 这里什么都没有 — 人家是平的啦。 (找不到 — 服务器找不到给定的资源;文档不存在。) 405
比较全面的安全测试用例设计思路
Sunnyyou2011
08-15 3635
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和授权错误. 1.输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*()_+&lt...
web安全常用测试用例
黑面狐
11-26 3126
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*
使用PHP在Flash实现摄像头预览功能
## 1.2 简要介绍使用PHP和Flash实现该功能的优势 在实现摄像头预览功能时,结合PHP和Flash可以带来一些优势。PHP作为服务器端脚本语言,可以接收客户端的请求并处理数据,而Flash作为客户端技术,具有强大的多媒体...
信息安全_数据安全_Dive_into_VxWorks_Based_IoT_Devi.pdf
08-21
业务安全通常与安全策略的制定、执行及员工培训等方面紧密相关。 最后,不可忽视的是“可信计算”。这是信息安全领域的一个重要概念,指的是通过一系列的技术手段确保计算环境的安全可信。这涉及到硬件、固件、操作...
flash as3录音功能(不用借助fms)
10-24
这个过程涉及到了Flash Player的安全策略和文件系统交互,需要注意的是,由于浏览器的安全限制,这种操作在现代Web环境可能无法直接在网页上运行,除非是在支持Flash的桌面环境或者使用Adobe AIR。 以上就是...
Flask session cookie 失效在Safari的解决方法
weixin_44617651的博客
09-10 1277
最近在使用 Flask 开发 web 应用时,遇到了一个奇怪的问题:在 macOS 上运行 Flask 应用,所有浏览器都能正常设置 session cookie。这种方法通常在各种浏览器工作良好,但有时可能会在 Safari 遇到 session cookie 失效的问题,特别是使用了 iOS 或 macOS 上的 Safari。要修改 Flask 的配置,使其使用第一方 cookie 来存储 session 数据,可以在初始化 Flask 应用时,设置。
Flask如何创建并运行数据库迁移
sheji888的专栏
09-08 1420
Flask应用,模型通常定义在models.py文件。这些模型代表了数据库的表,并使用SQLAlchemy的ORM(对象关系映射)功能来定义表的字段和关系。
Flask的会话(Session)
sheji888的专栏
09-10 910
Flask,会话(Session)是一种重要的机制,用于在不同请求之间存储和传输用户数据,从而允许应用程序在用户与服务器之间的多次交互保持状态。
Flask实现文件上传
sheji888的专栏
09-10 551
Flask实现文件上传是一个常见的需求,它允许用户将文件从本地计算机传输到服务器上。下面将详细介绍如何在Flask实现文件上传的步骤,包括设计上传表单、创建处理文件上传的路由、以及相关的最佳实践。
如何在Flask实现用户认证
最新发布
sheji888的专栏
09-11 482
你需要有一个用户模型,通常是一个类,继承自UserMixin并包含一些基本属性(如用户名、密码等)。class User(UserMixin, db.Model): # 假设你使用SQLAlchemy作为ORM# 验证密码# 设置密码。
Flask的上下文(Context)
sheji888的专栏
09-08 1150
Flask的上下文是框架提供的一种强大机制,用于在Web开发过程管理和访问应用级别和请求级别的状态信息。会话上下文、应用全局上下文和请求上下文分别用于实现跨请求的用户状态管理、应用全局状态共享和单次请求的环境管理。通过合理使用这些上下文机制,开发者可以更加灵活地编写Flask应用程序,提高代码的可维护性和可扩展性。需要注意的是,虽然上述三类上下文在Flask扮演着重要角色,但Flask的官方文档和社区并没有严格规定“会话上下文”这一术语的具体实现和用法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值