Flask 中文教程
Flask 中文教程
  1. Flask 安装
    1. Flask virtualenv
    2. Flask 全局安装
    3. Flask 活在边缘
    4. Flask Windows 下的 pip 和 distribute
  2. Flask 快速入门
    1. Flask 一个最小的应用
    2. Flask 调试模式
    3. Flask 路由
    4. Flask 变量规则
    5. Flask 构造 URL
    6. Flask HTTP 方法
    7. Flask 静态文件
    8. Flask 模板渲染
    9. Flask 访问请求数据
    10. Flask 重定向和错误
    11. Flask 关于响应
    12. Flask 会话
    13. Flask 消息闪现
    14. Flask 日志记录
    15. Flask 整合 WSGI 中间件
    16. Flask 部署到 Web 服务器
  3. Flask 教程
    1. Flask 介绍 Flaskr
    2. Flask 创建文件夹
    3. Flask 数据库模式
    4. Flask 应用设置代码
    5. Flask 数据库连接
    6. Flask 创建数据库
    7. Flask 视图函数
    8. Flask 模板
    9. Flask 添加样式
    10. Flask 应用测试
  4. Flask 模板
    1. Flask Jinja 配置
    2. Flask 标准上下文
    3. Flask 标准过滤器
    4. Flask 控制自转义
    5. Flask 注册过滤器
    6. Flask 上下文处理器
  5. Flask 测试 Flask 应用
    1. Flask 应用程序
    2. Flask 测试的大框架
    3. Flask 第一个测试
    4. Flask 登录和登出
    5. Flask 测试消息的添加
    6. Flask 其他测试技巧
    7. Flask 伪造资源和上下文
    8. Flask 保存上下文
    9. Flask 访问和修改 Sessions
  6. Flask 记录应用错误
    1. Flask 错误邮件
    2. Flask 记录带文件
    3. Flask 控制日志格式
    4. Flask 其他的库
  7. Flask 调试应用错误
  8. Flask 配置处理
    1. Flask 配置基础
    2. Flask 内置的配置值
    3. Flask 从文件配置
    4. Flask 配置的最佳实践
    5. Flask 开发/生产
    6. Flask 实例文件夹
  9. Flask 信号
    1. Flask 订阅信号
    2. Flask 创建信号
    3. Flask 发送信号
    4. Flask 信号与 Flask 的请求上下文
    5. Flask 基于装饰器的信号订阅
    6. Flask 核心信号
  10. Flask 即插视图
    1. Flask 基本原则
    2. Flask 方法提示
    3. Flask 基于调度的方法
    4. Flask 装饰视图
    5. Flask 用于 API 的方法视图
  11. Flask 应用上下文
    1. Flask 应用上下文的作用
    2. Flask 创建应用上下文
    3. Flask 应用上下文局部变量
    4. Flask 上下文用法
  12. Flask 请求上下文
    1. Flask 深入上下文作用域
    2. Flask 上下文如何工作
    3. Flask 回调和错误
    4. Flask 销毁回调
    5. Flask 留意代理
    6. Flask 错误是的上下文保护
  13. Flask 用蓝图实现模块化的应用
    1. Flask 为什么使用蓝图?
    2. Flask 蓝图的设想
    3. Flask 我的第一个蓝图
    4. Flask 注册蓝图
    5. Flask 蓝图资源
    6. Flask 构造 URL
  14. Flask 扩展
    1. Flask 寻找扩展
    2. Flask 使用扩展
    3. Flask 0.8 以前
  15. Flask 与 Shell 共舞
    1. Flask 创建一个请求上下文
    2. Flask 激发请求发送前后的调用
    3. Flask 进一步提升 Shell 使用体验
  16. Flask 代码模式
    1. Flask 大型应用
    2. Flask 应用程序的工厂函数
    3. Flask 应用调度
    4. Flask 使用URL 处理器
    5. Flask 部署和分发
    6. Flask 使用 Fabric 部署
    7. Flask 在 Flask 中使用 SQLite 3
    8. Flask 在 Flask 中使用 SQLAIchemy
    9. Flask 上传文件
    10. Flask 缓存
    11. Flask 视图装饰器
    12. Flask 使用 WTForms 进行表单验证
    13. Flask 模板继承
    14. Flask 消息闪现
    15. Flask 用 jQuery 实现 Ajax
    16. Flask 自定义错误页面
    17. Flask 延迟加载视图
    18. Flask 在 Flask 中使用 MongoKit
    19. Flask 添加 Favicon
    20. Flask 数据流
    21. Flask 延迟请求回调
    22. Flask 添加 HTTP Method Overrides
    23. Flask 请求内容校验码
    24. Flask 基于 Celery 的后台任务
  17. Flask 部署选择
    1. Flask mod_wsgi (Apache)
    2. Flask 独立 WSGI 容器
    3. Flask uWSGI
    4. Flask FastCGI
    5. Flask CGI
  18. Flask 聚沙成塔
    1. Flask 阅读源码
    2. Flask 钩子,继承
    3. Flask 继承
    4. Flask 用中间件包装
    5. Flask 分支
    6. Flask 像专家一样扩大规模
    7. Flask 与社区对话
  19. Flask API
    1. Flask 应用对象
    2. Flask 会话接口
    3. Flask 消息闪现
    4. Flask 模板渲染
    5. Flask 信号
    6. Flask 基于类的视图
    7. Flask 视图函数选项
  20. Flask 中的设计决策
    1. Flask 显式的应用对象
    2. Flask 路由系统
    3. Flask 某个模板引擎
    4. Flask 微与依赖
    5. Flask 线程局域变量
    6. Flask 是什么,不是什么?
  21. Flask HTML/XHTML 常见问题
    1. Flask XHTML 的历史
    2. Flask HTML5 的历史
    3. Flask HTML vs. XHTML
    4. Flask “严格”意味着什么?
    5. Flask HTML5 中的新技术
    6. Flask 应该使用什么?
  22. Flask 安全注意事项
    1. Flask 跨站脚本攻击(XSS)
    2. Flask 跨站请求伪造(CSRF)
    3. Flask JSON 安全
  23. Flask Flask 中的 Unicode
    1. Flask 自动转换
    2. Flask 金科玉律
    3. Flask 自行编解码
    4. Flask 配置编辑器
  24. Flask 扩展开发
    1. Flask 剖析扩展
    2. Flask "Hello Flaskext!"
    3. Flask 初始化扩展
    4. Flask 扩展的代码
    5. Flask 使用 _app_ctx_stack
    6. Flask 已审核的扩展
  25. Flask Pocoo 风格指引
    1. Flask 总体布局
    2. Flask 表达式和语句
    3. Flask 命名约定
    4. Flask 文档注释
    5. Flask 注释
  26. Flask Python 3 支持
    1. Flask 需求
  27. Flask 升级到最新版本
    1. Flask Version 0.3至Version 0.6
    2. Flask Version 0.7
    3. Flask Version 0.8 至 Version 0.10
  28. Flask Changelog
    1. Flask Version 0.1 to Version 0.6
    2. Flask Version 0.6.1 to Version 0.7.3
    3. Flask Version 0.8 to Version 0.9
    4. Flask Version 0.10 to Version 1.0
  29. Flask 术语表
阅读(1.2k) 书签 (0) 我要纠错

Flask 跨站脚本攻击(XSS)

2021-08-10 10:39 更新

跨站脚本攻击的概念是在一个网站的上下文中注入任意的 HTML (以及附带的 JavaScript )。开发者需要正确地转义文本,使其不能包含任意 HTML 标签来避免 这种攻击。更多的信息请阅读维基百科上关于 Cross-Site Scripting 的文章。

Flask 配置 Jinja2 自动转义所有值,除非显式地指明不转义。这就排除了模板导 致的所有 XSS 问题,但是你仍需要在其它的地方小心:

  • 生成 HTML 而不使用 Jinja2
  • 在用户提交的数据上调用了 Markup
  • 发送上传的 HTML 文件,永远不要这么做,使用 Content-Disposition: attachment 标头来避免这个问题
  • 发送上传的文本文件。一些浏览器使用基于开头几个字节的 content-type 猜测,所以用户可能欺骗浏览器执行 HTML

另一件非常重要的事情是未用引号包裹的属性。虽然 Jinja2 可以通过转义 HTML 来保护你免受 XSS 问题,仍有一种情况,它不能保护你: 属性注入的 XSS 。为了 应对这种攻击媒介,确保当在属性中使用 Jinja 表达式时,始终用单引号或双引号 包裹属性:

<a href="{{ href }}">the text</a>

为什么这是必要的?因为如果你不这么做,攻击者可以容易地注入自制的 JavaScript 处理器。譬如一个攻击者可以注入这段 HTML+JavaScript:

onmouseover=alert(document.cookie)

当用户鼠标经过这个链接, 会在警告窗口里把 cookie 显示给用户。一个精明的 攻击者可能也会执行其它的 JavaScript 代码,而不是把 cookie 显示给用户。 同 CSS 注入联系在一起,攻击者甚至使得元素填满整个页面,这样用户鼠标在页面 上的任何地方都会触发攻击。

以上内容是否对您有帮助:
Flask 安全注意事项
Flask 跨站请求伪造(CSRF)
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号