Flask 面试题 目录

Flask 中如何防止跨站脚本攻击 (XSS)?

推荐答案

在 Flask 中防止跨站脚本攻击 (XSS) 的主要方法包括:

  1. 使用 Jinja2 的自动转义功能:Jinja2 模板引擎默认会自动转义 HTML 内容,防止恶意脚本注入。确保在渲染模板时不要禁用自动转义。

    在这个例子中,user_input 中的脚本标签会被自动转义,不会执行。

  2. 使用 Markup 类手动转义:如果需要在模板中插入 HTML 内容,可以使用 Markup 类手动转义。

  3. 验证和清理用户输入:在处理用户输入时,始终进行验证和清理,确保输入内容符合预期格式。

  4. 设置 HTTP 头:通过设置 Content-Security-Policy HTTP 头来限制页面中可以加载的资源,进一步防止 XSS 攻击。

本题详细解读

什么是跨站脚本攻击 (XSS)?

跨站脚本攻击 (XSS) 是一种常见的 Web 安全漏洞,攻击者通过在网页中注入恶意脚本,使得这些脚本在其他用户的浏览器中执行。XSS 攻击通常分为三种类型:

  1. 存储型 XSS:恶意脚本被永久存储在目标服务器上,当其他用户访问受影响的页面时,脚本会被执行。
  2. 反射型 XSS:恶意脚本作为请求的一部分发送到服务器,服务器将脚本反射回用户的浏览器并执行。
  3. DOM 型 XSS:恶意脚本通过修改页面的 DOM 结构来执行,不经过服务器。

如何在 Flask 中防止 XSS?

  1. 自动转义:Jinja2 模板引擎默认会自动转义 HTML 内容,这意味着任何插入到模板中的变量都会被转义,防止恶意脚本的执行。这是防止 XSS 的第一道防线。

  2. 手动转义:在某些情况下,你可能需要在模板中插入 HTML 内容。这时可以使用 Markup 类来标记内容为安全的 HTML,但需要确保这些内容是可信的。

  3. 输入验证和清理:在处理用户输入时,始终进行验证和清理。例如,使用正则表达式或专门的库(如 bleach)来清理用户输入,确保输入内容不包含恶意代码。

  4. 设置 HTTP 头:通过设置 Content-Security-Policy HTTP 头,可以限制页面中可以加载的资源,从而减少 XSS 攻击的风险。例如,default-src 'self' 表示只允许加载来自同源的资源。

示例代码

以下是一个完整的 Flask 应用示例,展示了如何防止 XSS 攻击:

-- -------------------- ---- -------
---- ----- ------ ------ ----------------------- ------- --------

--- - ---------------

---------------
--- --------
    ---------- - -------------------------------
    --------- - -------------------- ---------------
    ------ -------------------------- ---------- -------- --------- ---- ---------------------- --------------------

------------------
--- -------------------------------
    ------------------------------------------- - ------------ -------
    ------ --------

-- -------- -- -----------
    -------------------

在这个示例中,user_input 会被自动转义,而 safe_html 被标记为安全的 HTML。同时,Content-Security-Policy 头被设置为只允许加载同源资源。

上一篇: Flask 中如何防止 SQL 注入?
下一篇: Flask 中如何防止跨站请求伪造 (CSRF)?
纠错
反馈