flask中安全策略简要说明

问题:针对服务安全基础策略

策略一、接口入参长度限制

策略二、接口入参不接收特殊字符

解决方案:

一、flask对象实例化后,提供有config配置

复制代码
app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024  # 设置为16MB

二、flask有提供参数校验前的函数,可以以装饰器的方式调用实现接收参数前的处理

from flask import Flask, request, jsonify

app = Flask(name)

定义一个函数来校验参数中是否包含特殊字符

def validate_parameters(params):

for key, value in params.items():

if not isinstance(value, str):

continue

if any(char in value for char in ['<', '>', '&', '"', "'", ';', '\\']):

return False

return True

@app.before_request

def before_request():

if request.method in ['POST', 'PUT']:

if 'application/json' in request.headers.get('Content-Type', ''):

params = request.get_json()

else:

params = request.form

if not validate_parameters(params):

return jsonify({'error': 'Parameters contain special characters'}), 400

@app.route('/your-endpoint', methods=['POST'])

def your_endpoint():

这里可以安全地使用参数,因为它们已经被校验过不包含特殊字符

data = request.get_json() if request.is_json else request.form

处理你的逻辑...

return jsonify({'message': 'Success'}), 200

if name == 'main':

app.run(debug=True)

小结:提供前置函数,这个思想非常值得学习。本来还在考虑,按正常操作,会需要给每一个路由都添加指定的方法来实现逻辑筛选,这种常规思维的方式会让工作量变的很大。做许多没有意义的事情。后续这个思想会需要继续进行深化

相关推荐
爱隐身的官人8 分钟前
cfshow-web入门-php特性
python·php·ctf
gb421528727 分钟前
java中将租户ID包装为JSQLParser的StringValue表达式对象,JSQLParser指的是?
java·开发语言·python
THMAIL31 分钟前
量化股票从贫穷到财务自由之路 - 零基础搭建Python量化环境:Anaconda、Jupyter实战指南
linux·人工智能·python·深度学习·机器学习·金融
~-~%%33 分钟前
从PyTorch到ONNX:模型部署性能提升
人工智能·pytorch·python
蒋星熠38 分钟前
Flutter跨平台工程实践与原理透视:从渲染引擎到高质产物
开发语言·python·算法·flutter·设计模式·性能优化·硬件工程
ChinaRainbowSea1 小时前
7. LangChain4j + 记忆缓存详细说明
java·数据库·redis·后端·缓存·langchain·ai编程
舒一笑1 小时前
同步框架与底层消费机制解决方案梳理
后端·程序员
minh_coo1 小时前
Spring框架事件驱动架构核心注解之@EventListener
java·后端·spring·架构·intellij-idea
爬虫程序猿1 小时前
《京东商品详情爬取实战指南》
爬虫·python
胡耀超1 小时前
4、Python面向对象编程与模块化设计
开发语言·python·ai·大模型·conda·anaconda