flask中安全策略简要说明

问题:针对服务安全基础策略

策略一、接口入参长度限制

策略二、接口入参不接收特殊字符

解决方案:

一、flask对象实例化后,提供有config配置

复制代码
app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024  # 设置为16MB

二、flask有提供参数校验前的函数,可以以装饰器的方式调用实现接收参数前的处理

from flask import Flask, request, jsonify

app = Flask(name)

定义一个函数来校验参数中是否包含特殊字符

def validate_parameters(params):

for key, value in params.items():

if not isinstance(value, str):

continue

if any(char in value for char in '\<', '\>', '\&', '"', "'", ';', '\\\\'):

return False

return True

@app.before_request

def before_request():

if request.method in 'POST', 'PUT':

if 'application/json' in request.headers.get('Content-Type', ''):

params = request.get_json()

else:

params = request.form

if not validate_parameters(params):

return jsonify({'error': 'Parameters contain special characters'}), 400

@app.route('/your-endpoint', methods='POST')

def your_endpoint():

这里可以安全地使用参数,因为它们已经被校验过不包含特殊字符

data = request.get_json() if request.is_json else request.form

处理你的逻辑...

return jsonify({'message': 'Success'}), 200

if name == 'main':

app.run(debug=True)

小结:提供前置函数,这个思想非常值得学习。本来还在考虑,按正常操作,会需要给每一个路由都添加指定的方法来实现逻辑筛选,这种常规思维的方式会让工作量变的很大。做许多没有意义的事情。后续这个思想会需要继续进行深化

相关推荐
元Y亨H几秒前
Python - FastAPI 全方位介绍
python·fastapi
陈随易15 分钟前
前端项目部署只要30秒
前端·后端·程序员
YIAN19 分钟前
从零手写文件读取 MCP 服务:一文吃透 Model Context Protocol 全链路通信原理
前端·后端·mcp
Imchendiana19 分钟前
《狂人日记NO.9》— 前后端一把梭,我的全栈实录
前端·后端
学渣超20 分钟前
记一次分布式事务数据不一致的排查之旅:从超时到索引,层层剥茧
java·后端·架构
北冥you鱼1 小时前
Go 语言读取链上数据:从基础到实战
开发语言·后端·golang
程序员cxuan1 小时前
Claude Code 为了封禁中国用户,竟然在代码里下毒
人工智能·后端·程序员
郡杰1 小时前
Git基础与开发平台搭建
git·后端
error:(1 小时前
【系统与实战双精通】VS Code 调试 ROS2 Python 节点与 Launch 系统指南
android·java·python
ServBay2 小时前
MCP (Model Context Protocol) 深度指南,协议原理、Python 实现与生产级安全实践
后端·ai编程·mcp